漏洞详情

披露状态:

2014-02-21: 细节已通知厂商并且等待厂商处理中
2014-02-21: 厂商已经确认,细节仅向厂商公开
2014-03-03: 细节向核心白帽子及相关领域专家公开
2014-03-13: 细节向普通白帽子公开
2014-03-23: 细节向实习白帽子公开
2014-04-07: 细节向公众公开

简要描述:

听说厂商挺厚道,来碰碰运气~

详细说明:

听说厂商挺厚道的,就来碰碰运气:)

我发现找回密码设计缺陷有以下两点:

找回密码的url构成为:http://yibo.iyiyun.com/UserLogin/rePassword/uname/aGFwcHkyeWFuZa==/email/e56cbc1b7b30eca7f2f1d0344f239684/time/MTM5Mjg5NTUxMA==

(上面我修改了一下自己的信息==所以你可能转换不了)

uname是使用base64加密后的用户名

email是用户的邮箱,使用了两次MD5加密

time是时间戳base64加密,但是这个时间似乎不是很准,需要在当前时间减去大约17分钟17秒,具体多时间次就可以,查不了太多。

后来发现,这个时间戳其实压根没用上==

这样只要知道了某个用户的邮箱及用户名就可以重置其密码了~

漏洞证明:

将用户名用base64加密,用户邮箱用2次MD5加密,构造上面的url,无须使用时间戳即可重置指定用户密码。



http://yibo.iyiyun.com/UserLogin/rePassword/uname/Y2VzaGkxMjM=/email/107151785a9dbeb988a0097b8e963804

QQ截图20140221111326.jpg



QQ截图20140221111403.jpg

修复方案:

把找回密码的url加密的复杂一些,加入原密码之类的,还有时间戳判断一下,一旦用户修改了将这个url过期。

版权声明:转载请注明来源 happylyang@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-02-21 12:30

厂商回复:

感谢对益云的关注~

最新状态:

暂无


漏洞评价: