当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091549

漏洞标题:绕过阿里某重要业务账号二次登陆手机验证

相关厂商:阿里巴巴

漏洞作者: 鸟云厂商

提交时间:2015-01-13 10:16

修复时间:2015-02-27 10:18

公开时间:2015-02-27 10:18

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-13: 细节已通知厂商并且等待厂商处理中
2015-01-13: 厂商已经确认,细节仅向厂商公开
2015-01-23: 细节向核心白帽子及相关领域专家公开
2015-02-02: 细节向普通白帽子公开
2015-02-12: 细节向实习白帽子公开
2015-02-27: 细节向公众公开

简要描述:

绕过阿里云账号手机二次验证

详细说明:

偶然的机会窥探到某公司员工的阿里云账号,于是来到http://aliyun.com 登录 需要手机验证码进行二次验证

E3C49E8A-BCAB-47E4-9451-B69EBA6DE610.png


这时候打开http://www.net.cn 同样进行登录,不需要手机验证,成功登陆。

EC022274-07C1-4232-9368-F27ECD723B37.png


这时候重新打开http://aliyun.com 无需验证,自动登录(两个站都是使用阿里的账号系统)

F2DA7697-2901-4052-8338-6DCB04D8D654.png


可以对服务器进行操作了

CA65D116-5630-48CF-975E-7AEBD6369E54.png


漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-01-13 14:53

厂商回复:

亲爱的白帽子您好!该漏洞为已知问题,有其他白帽子上报过,感谢您的提交!

最新状态:

暂无