佳品网验证码设计缺陷可爆破(佳品网CTO躺枪)

漏洞详情

披露状态:

2014-02-13: 细节已通知厂商并且等待厂商处理中
2014-02-13: 厂商已经确认,细节仅向厂商公开
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-30: 细节向公众公开

简要描述:

设计缺陷导致可登陆他人账号,泄露个人地址,手机,邮箱,消费记录,涉及账户金额,可消费。
佳品网CTO躺枪....

详细说明:

作为奢侈品电商网站,用户账户涉及到金额,敏感信息等。所以就提交上来了。

其实漏洞并没有什么技术性,只是验证码设计缺陷,没有对验证码有效性做限制(虽然验证码很强大),导致可重复使用验证码。进而导致可以暴力破解用户密码。

也可以对固定密码(弱口令),进行对用户名或者手机号,邮箱进行批量破解。两百w的用户,相信成功率会很高。

撞库的话,几率也很高。

我就不大批量的测试,只是以弱口令123456来证明一下,漏洞真实存在即可。

首先登陆时,输错了验证码,但是发现验证码无变化,所以猜测可以暴力破解。

登陆时抓包

POST /member/loginsubmit HTTP/1.1
Host: user.jiapin.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Proxy-Connection: keep-alive
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://user.jiapin.com/member/login?url=http://user.jiapin.com/member/backpassword
Content-Length: 87
Cookie: @#¥¥
Pragma: no-cache
Cache-Control: no-cache

login_name=§admin§&login_password=123456&login_verify=4&true_memory=no&time=1392279817388



我就对用户名进行一个破解测试

3.jpg



测试了不到100个用户名,成功了很多

随便登陆几个账号

4.jpg



5.jpg



6.jpg





然后我发现了一个佳品网内部的账户,而且还是佳品网CTO william 的账号。呵呵,账户里泄露了他的地址,手机,邮箱,消费记录,余额等等。

消费金额还不少呢...

77.jpg



88.jpg



余额还有120

9.jpg



漏洞证明:

上面

修复方案:

大峰会修昂!

版权声明:转载请注明来源 niliu@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-02-13 17:23

厂商回复:

你是?

最新状态:

2014-02-18:礼物已发出,请确认,再次感谢,希望更多关注佳品网!

2014-02-19:已经修复,感谢,请再次关注佳品网


漏洞评价: