当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133286

漏洞标题:安居客 大量弱口令可登录多个平台(严重)

相关厂商:安居客

漏洞作者: 土夫子

提交时间:2015-08-11 11:10

修复时间:2015-08-16 11:12

公开时间:2015-08-16 11:12

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-11: 细节已通知厂商并且等待厂商处理中
2015-08-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

大量弱口令,危及多个业务平台

详细说明:

1、账号信息批量收集
由于业务因素,安居客对用户显示了所有经纪人的手机号
http://beijing.anjuke.com/tycoon/p49

1-1.jpg


2、弱口令碰撞
有了上面收集的大量手机号遍可以登录多个平台了。使用burp加载收集的手机号列表对如下三个平台进行测试
【门店系统】
http://mendian.anjuke.com

2-1.jpg


【网络经纪人系统】
http://my.anjuke.com/ajkbroker/login/

2-2.jpg


【经纪人分销平台】
http://my.anjuke.com/fxb/login/

2-3.jpg


漏洞证明:

如上

修复方案:

其实还是挺严重的,上述只是拿少量手机号做测试。毕竟安居客的经纪人基数还是很庞大的。求20rank
修复建议:
1、强制用户使用复杂性密码
2、登录接口限制

版权声明:转载请注明来源 土夫子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-16 11:12

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无