漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0156000
漏洞标题:网易企业邮箱某处存在重大安全漏洞(企业客户通杀测试蘑菇街/湖南卫视等)
相关厂商:网易
漏洞作者: 土夫子
提交时间:2015-11-26 10:51
修复时间:2016-01-14 15:02
公开时间:2016-01-14 15:02
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-26: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开
简要描述:
有不少公司的企业邮局都选择了网易企业邮箱。对网易企业邮箱平台上的3家公司 【蘑菇街、第一财经、湖南卫视】 做了测试,均成功。
详细说明:
纠结了半天这到底算不算一个漏洞,到底该不该提;经过测试证明这是一个安全漏洞,因为它影响了网易企业邮箱平台上每一个公司的安全。
【漏洞1】企业登录入口页面,回显信息竟然提示有无账号存在,构成了第一步安全威胁
【漏洞2】在入口页面登录时,采用burp挂字典进行批量扫号,登录入口竟无任何限制(扫号时密码不变,仅遍历用户名),这样通过挂载100万或者1000万的常用姓名字典便可猜解出任何一家公司的大部分已存在账号
【漏洞3】其实第三步不算漏洞,但是前两步未做任何限制,也便成就了这一步的成功登录。得知了哪些账户存在,便可进行批量登录了,每个账号有5次重试密码机会。其实5次密码机会已经足够(可以拿出5个常用密码,如1234qwer、abc123、q1w2e3r4、1qaz2wsx等)
通过上述步骤如法炮制,选取了蘑菇鸡、第一财经、湖南卫视进行测试,均成功。
这种漏洞能给企业带来什么威胁?可以长期潜伏监控被攻破邮箱的邮件内容、可以导出企业通信录、可以秘密设置邮件抄送邮箱,当然,能做的还不止这些... 想到这些,夫子背后阵阵凉风
漏洞证明:
如上
修复方案:
1、登录页面处有无存在账户,均提示“用户名或秘密错误”
2、启用来源ip限制,防止爆破
3、用户首次登录时也需要验证码,毕竟输个验证码真心不影响用户体验
4、求个网易公仔(官方公仔,非游戏公仔)
版权声明:转载请注明来源 土夫子@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-11-30 15:01
厂商回复:
该问题已确认,将在下周修复,感谢您对网易的关注!
最新状态:
暂无