漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-095725
漏洞标题:天地行接口配置不当可撞库攻击
相关厂商:真旅网集团
漏洞作者: 花心h
提交时间:2015-02-05 12:23
修复时间:2015-03-22 12:24
公开时间:2015-03-22 12:24
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-05: 细节已通知厂商并且等待厂商处理中
2015-02-05: 厂商已经确认,细节仅向厂商公开
2015-02-15: 细节向核心白帽子及相关领域专家公开
2015-02-25: 细节向普通白帽子公开
2015-03-07: 细节向实习白帽子公开
2015-03-22: 细节向公众公开
简要描述:
.
详细说明:
先说一个和这个漏洞不着边的一个安全逻辑问题。
为防止越权你们有一个key,key和用户名同样才会被确认。
问题就在这里,这个Key是永久的【可能吧,至少我测试是可以的。
这就差不多等于密码存在Cookis里面
就是那个SID2的变量,因为我觉得这个可能照成安全隐患【我只是一个小菜..所以说错也请多多包涵.
好啦言归真转,
在http://store.tdxinfo.com/tops-front-purchaser/facade/signin的登陆口用burp抓包
获得的包
POST /tops-front-purchaser/signIn HTTP/1.1
Host: store.tdxinfo.com
Proxy-Connection: keep-alive
Content-Length: 145
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://store.tdxinfo.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://store.tdxinfo.com/tops-front-purchaser/facade/signin
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: _pa_ref.2.1c38=%5B%22%22%2C%22%22%2C1423074124%2C%22http%3A%2F%2Fwww.haosou.com%2Fs%3Fie%3Dutf-8%26src%3Dse7_drag%26q%3Dwww_tdxinfo_com%22%5D; SID2=c24625b3-35c5-4035-ab49-f987175ca327-1423074497359; _pa_id.2.1c38=4376cfb905e957bc.1423051923.5.1423074589.1423069983.; _pa_ses.2.1c38=*
user_mode=company_user&username=111&password=111&captcha=&auth_result_only=true&origin_host=http%3A%2F%2Fstore.tdxinfo.com%2Ftops-front-purchaser
username是用户名。password是密码,captcha是验证码,
问题出现在,只验证了username和password,验证码随便填,只要账号密码正确就可以进去,形同虚设
未深入测试。2W字典100多个吧,测试密码是123456
成功的大概是700左右字段,其中包含了用户名字段【还有包涵了唯一的令牌,可以通过嗅探来获得
重要声明!此次测试获得的所有账号不会以任何形式传播,测试完已销毁。
漏洞证明:
先说一个和这个漏洞不着边的一个安全逻辑问题。
为防止越权你们有一个key,key和用户名同样才会被确认。
问题就在这里,这个Key是永久的【可能吧,至少我测试是可以的。
这就差不多等于密码存在Cookis里面
就是那个SID2的变量,因为我觉得这个可能照成安全隐患【我只是一个小菜..所以说错也请多多包涵.
好啦言归真转,
在http://store.tdxinfo.com/tops-front-purchaser/facade/signin的登陆口用burp抓包
获得的包
POST /tops-front-purchaser/signIn HTTP/1.1
Host: store.tdxinfo.com
Proxy-Connection: keep-alive
Content-Length: 145
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://store.tdxinfo.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://store.tdxinfo.com/tops-front-purchaser/facade/signin
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: _pa_ref.2.1c38=%5B%22%22%2C%22%22%2C1423074124%2C%22http%3A%2F%2Fwww.haosou.com%2Fs%3Fie%3Dutf-8%26src%3Dse7_drag%26q%3Dwww_tdxinfo_com%22%5D; SID2=c24625b3-35c5-4035-ab49-f987175ca327-1423074497359; _pa_id.2.1c38=4376cfb905e957bc.1423051923.5.1423074589.1423069983.; _pa_ses.2.1c38=*
user_mode=company_user&username=111&password=111&captcha=&auth_result_only=true&origin_host=http%3A%2F%2Fstore.tdxinfo.com%2Ftops-front-purchaser
username是用户名。password是密码,captcha是验证码,
问题出现在,只验证了username和password,验证码随便填,只要账号密码正确就可以进去,形同虚设
未深入测试。2W字典100多个吧,测试密码是123456
成功的大概是700左右字段,其中包含了用户名字段【还有包涵了唯一的令牌,可以通过嗅探来获得
重要声明!此次测试获得的所有账号不会以任何形式传播,测试完已销毁。
修复方案:
1,验证码机制
2.密文传输
3.直接上Https加密吧
版权声明:转载请注明来源 花心h@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-02-05 12:42
厂商回复:
谢谢,您对我们站点的关心!
欢迎和鼓励白帽子在不影响系统、破坏系统以及窃取数据的前提下,对我们真旅网旗下各个平台做安全检测。
我们将根据漏洞等级/严重程度给予报告漏洞的白帽子发放相应的Rank及礼物。
新系统列表(含里面菜单包括的所有模块):
天地行:www_tdxinfo_com (主平台)
运营商:op_tdxinfo_com
供应商:provider_tdxinfo_com
B2G: vipcorp_travelzen_com
注:
1,请大家对我们列表的站点进行检测,列表外的特别是废弃不用的系统,我们将不再给予礼物发放哦,谢谢谅解!
2,漏洞细节严禁包含密码、敏感资料等内容,未做处理的一律给予1分并不发送礼物,请大家注意哦~
最新状态:
暂无