漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-093303
漏洞标题:拉勾网设计缺陷导致主站可暴力破解(人员信息泄露)
相关厂商:lagou.com
漏洞作者: 路人甲
提交时间:2015-01-22 10:38
修复时间:2015-03-08 10:40
公开时间:2015-03-08 10:40
漏洞类型:网络设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-22: 细节已通知厂商并且等待厂商处理中
2015-01-22: 厂商已经确认,细节仅向厂商公开
2015-02-01: 细节向核心白帽子及相关领域专家公开
2015-02-11: 细节向普通白帽子公开
2015-02-21: 细节向实习白帽子公开
2015-03-08: 细节向公众公开
简要描述:
拉勾网人员登录未做控制,可方便的获取人员敏感信息。安全很重要,加油啊。
详细说明:
首先登录拉勾网首页,选择登录后页面会跳转到如下的登录页面
随便使用几个账户测试登录发现没有验证码的限制,只是对账户存在不存在进行了判断
那好了,抓个包看看
通过抓包可以发现,在拉勾网后台传输的过程中传递的为明文,这样有了机会了
修改替换一下名称跑一下
看看结果
可以发现返回的code值都是200这就没有办法了吗?当然不是 还可以判断length返回值进行判断,发现主要返回的是2类值,一类返回的为581 一类为27**,通过实际测试当length的值581是登录失败,这样就选择一个返回为27**的登录名及用户看,选择一个登录一下
登录成功,里面显示的内容清新,姓名、邮箱、手机,工作详情该有的都有了。
话说拉勾网的界面设计真不错,但是毕竟是招聘网站,个人信息还是很重要的啊,要加强。
漏洞证明:
首先登录拉勾网首页,选择登录后页面会调整到如下的登录页面
随便使用几个账户进行登录发现拉勾网没有等登录有任何的限制,只是对账户存在不存在进行了判断
那好了,抓个包看看
通过抓包可以发现,在拉勾网后台传输的过程中传递的为明文,这样就有了机会
修改替换一下名称跑一下
看看结果
可以发现返回的code值都是200这就没有办法了吗?当然不是 还可以判断length返回值进行判断,可以发现主要返回的是2类值,一类返回的为581 一类为27**,通过实际测试当length为581时为登录失败,选择一个27**长度的看看,选择一个登录一下
内容清新,姓名、邮箱、手机,工作详情该有的都有了。
修复方案:
你们更专业
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2015-01-22 12:37
厂商回复:
感谢提供此漏洞,后续我们将针对此漏洞进行修复。
最新状态:
暂无