漏洞详情

披露状态:

2014-03-05: 细节已通知厂商并且等待厂商处理中
2014-03-06: 厂商已经确认,细节仅向厂商公开
2014-03-16: 细节向核心白帽子及相关领域专家公开
2014-03-26: 细节向普通白帽子公开
2014-04-05: 细节向实习白帽子公开
2014-04-19: 细节向公众公开

简要描述:

RT

详细说明:

WooYun: 铁友网2种姿势重置任意账户密码

这是之前我提交的,目测已经修复得差不多了

今天你们客服MM来联系我,我就又顺便看了一下

这里我用我自己注册的帐号演示

分别为:

wooyunyana@126.com,wooyunyanb@126.com

首先我先用A帐号进行找回密码操作

输入登录名-验证身份-发送重置密码链接到A邮箱

a1.jpg



到邮箱内点击重置密码链接

输入密码后提交确认抓包

B帐号也如上,同样发送找回密码,点击重置密码输入密码后确认抓包

b0.jpg



b5.jpg



对比数据包发现不同之处仅在这个U值

A帐号的U值为:a3874de213b64e66add03ea68f8e2b6e

B帐号的U值为:199c1b7f12aafeb9f858b97ef2c68bfa

经过测试发现这个值虽然每次找回密码的时候都会变化

但是在找回密码的时候,其实已经将这个值返回了

q1.jpg



(谷歌浏览器下F12,然后点击获取邮件)

A帐号返回的

b1.jpg



B帐号返回的

b3.jpg



到了这里形势已经很明朗了,这里我利用A帐号的找回密码链接修改密码抓包

然后将A帐号的U值修改成B帐号的,就可以成功修改到B帐号的密码

c1.jpg

修改成功~

我自己试了一下B帐号的密码也确实被修改了

同理也修改所有任意邮箱用户的密码

厂商也可以自行复测下。

漏洞证明:

具体见详细说明,不知道写的会不会有点乱..

修复方案:

这个不该返回的值就不要返回了

PS:厂商有任何问题可以PM我,或者让携程的火凤凰妹子联系我,妹子有我Q的

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-03-06 09:07

厂商回复:

感谢

最新状态:

2014-03-06:确认为误报,感谢魇小伙伴。

2014-04-01:感谢关注铁友安全,同时也感谢洞主及时反馈给我们!


漏洞评价: