漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0139257
漏洞标题:厦门小鱼网可任意手机号注册及修改指定用户登录密码
相关厂商:厦门小鱼网
漏洞作者: Nelion
提交时间:2015-09-08 18:04
修复时间:2015-10-23 18:06
公开时间:2015-10-23 18:06
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:6
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
账户体系控制不严格;
详细说明:
1.可任意手机号注册;
2.可修改指定用户的登录密码;(指定user_id这个参数,这个参数可在找回密码时抓包获得)
漏洞证明:
一、任意手机号注册:
1.用任意手机号:15011112222 注册
2.输入验证码后,抓个包:
3.修改这里的手机号为我自己的手机号,提交:
4.手机收到验证码:
5.输入验证码,再填些登录密码,点击注册;注册成功:
二、修改指定用户的登录密码:
1.这里我用自己的两个真实手机注册了两账号:
ID:Jeans1
Pass:123456QWE
user_id=3708804
Phone:186*****239
ID:Nelion2
user_id=3708361
Phone:186*****761
2.下面我们用Nelion2这个账号来修改Jeans1的密码:
3.我们点击“找回密码”:
4.输入用户名“Nelion2”:
5.点击“下一步”可看见这里的手机号:
6.点击“获取短信验证码”手机收到如下:
7.输入验证码,点击“下一步”,到了修改密码:(我们这里改为:666666)
8.提交的时候抓包,获取到了user_id:
9.我们修改这个user_id为3708804,点击提交,显示修改成功:
10.我们用ID:Jeans1;Pass:666666 登录一下:
11.显示登录成功:
12.所以在这里我们如果把user_id这个参数任意更改的话,就能改任意一个账户的密码,而且因为是社区,所以获取账户名也是很简单的。个人觉得这个危害还是蛮大的。
修复方案:
还是得多做一步验证;
版权声明:转载请注明来源 Nelion@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:8 (WooYun评价)