漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

优购物网可使用任意手机号码注册账号,重置账户密码

详细说明:

1.先来看第一个问题,这里可以忽略服务器下发的手机验证码,使用他人手机号注册账户
本来作者以为这里只存在爆破4位手机验证码,使用别人手机号注册账户。下面贴一张爆破4位验证码来成功注册的截图
注册页面

zhuceyemian.jpg


burp爆破

4任意手机注册.jpg


登陆成功

3956.jpg


但是,后来一分析,发现更大的问题,可以不用爆破4位验证码也能做到,我发现,sms_code和对应的验证码是一一对应关系,手机号可以随便填,也就是说,手机号和验证码在后台不会作绑定验证
提出疑问:
作者先拿闲置的手机,3958结尾的号码作实验,手机收到的验证码4117,然后为了确认这个问题,用3957的手机burp遍历一遍,看是不是验证码还是4117(sms_code不变的情况下)

2.jpg


结果还真是

4117.jpg


再拿3955的手机号来验证一下,burp重放包,问题依然如此(这次换一个sms_code,拿3958手机收到的验证码再注册3955的账户)

3.jpg


3955登陆成功

3955.jpg


作者又另外实验得出,用过的验证码可以重复使用,来给其他手机号注册。但是改了sms_code,验证码就不能通过了
2.重置其他账户密码的问题,这里的更好绕过,直接抓包改手机号就能重置了
验证,先找到一个真实用户注册过的8590结尾的账户

8590.jpg


然后先用自己3958的手机号和收到的验证码一路正常提交,通过验证码检查后,改变手机号,重置密码成功

8591.jpg


8592.jpg


也很严重的问题呢!

漏洞证明:

1.先来看第一个问题,这里可以忽略服务器下发的手机验证码,使用他人手机号注册账户
本来作者以为这里只存在爆破4位手机验证码,使用别人手机号注册账户。下面贴一张爆破4位验证码来成功注册的截图
注册页面

zhuceyemian.jpg


burp爆破

4任意手机注册.jpg


登陆成功

3956.jpg


但是,后来一分析,发现更大的问题,可以不用爆破4位验证码也能做到,我发现,sms_code和对应的验证码是一一对应关系,手机号可以随便填,也就是说,手机号和验证码在后台不会作绑定验证
提出疑问:
作者先拿闲置的手机,3958结尾的号码作实验,手机收到的验证码4117,然后为了确认这个问题,用3957的手机burp遍历一遍,看是不是验证码还是4117(sms_code不变的情况下)

2.jpg


结果还真是

4117.jpg


再拿3955的手机号来验证一下,burp重放包,问题依然如此(这次换一个sms_code,拿3958手机收到的验证码再注册3955的账户)

3.jpg


3955登陆成功

3955.jpg


作者又另外实验得出,用过的验证码可以重复使用,来给其他手机号注册。但是改了sms_code,验证码就不能通过了
2.重置其他账户密码的问题,这里的更好绕过,直接抓包改手机号就能重置了
验证,先找到一个真实用户注册过的8590结尾的账户

8590.jpg


然后先用自己3958的手机号和收到的验证码一路正常提交,通过验证码检查后,改变手机号,重置密码成功

8591.jpg


8592.jpg


也很严重的问题呢!

修复方案:

后台增加验证机制,手机号,验证码,sms_code三码合一
增加验证码位数,限制使用时间,限制尝试次数等

标签: none

评论已关闭