当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159827

漏洞标题:电玩巴士官网规则导致某接口缺陷可撞库

相关厂商:电玩巴士

漏洞作者: Aasron

提交时间:2015-12-10 09:37

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-10: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开

简要描述:

我不能再这么默默无闻下去了....
分给的低,是不是通病,还是不看重用户的数据安全!

详细说明:

电玩巴士笑傲红尘官方网站:

http://hc.tgbus.com/


1.png


针对这种站先看看接口吧,出问题的接口

2.png


随手输入账号和密码,很多站点都会有test的账号,密码随便写

3.png

输入多次密码后未弹出验证机制,这下问题来了~来到注册页面,先观察注册账号的规则吧,许多游戏站点关联的注册页面都在主站,这也说明主站对密码强度要求不严格

4.png


随手输入6位数简单的密码提示可以提示,那我们来跑数据吧!
接口GET方式提交,明文,数据库貌似是Oracle大数据吧!

1.png


一共跑了100多万用户账号出来,后来重新跑了一个16万的字典

1.png


1.png

1.png


1.png


1.png

1.png

1.png


账号涉及量太大,我这里贴出一部分吧

shiguangliang		
wangbin			
lihongmei			
lichunmei			
wangxiurong			
liuyumei			
zhanghaiyan			
lishuzhen			
wangguixiang			
liujianguo			
admin123456 			
admin12345 			
admin456 			
service			
zhoukui			
lixue2			
etihad 			
ghzhang 			
informix 			
nemoto 			
test102


一个官网注册的强度设置就能搞定一群用户~

漏洞证明:

电玩巴士笑傲红尘官方网站:

http://hc.tgbus.com/


1.png


针对这种站先看看接口吧,出问题的接口

2.png


随手输入账号和密码,很多站点都会有test的账号,密码随便写

3.png

输入多次密码后未弹出验证机制,这下问题来了~来到注册页面,先观察注册账号的规则吧,许多游戏站点关联的注册页面都在主站,这也说明主站对密码强度要求不严格

4.png


随手输入6位数简单的密码提示可以提示,那我们来跑数据吧!
接口GET方式提交,明文,数据库貌似是Oracle大数据吧!

1.png


一共跑了100多万用户账号出来,后来重新跑了一个16万的字典

1.png


1.png

1.png


1.png


1.png

1.png

1.png


账号涉及量太大,我这里贴出一部分吧

shiguangliang		
wangbin			
lihongmei			
lichunmei			
wangxiurong			
liuyumei			
zhanghaiyan			
lishuzhen			
wangguixiang			
liujianguo			
admin123456 			
admin12345 			
admin456 			
service			
zhoukui			
lixue2			
etihad 			
ghzhang 			
informix 			
nemoto 			
test102


一个官网注册的强度设置就能搞定一群用户~

修复方案:

1.验证机制
2.密码强度
3.给我rank

版权声明:转载请注明来源 Aasron@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-10 10:28

厂商回复:

感谢洞主对完美世界的关注,我们将尽快修补。

最新状态:

暂无