漏洞概要 关注数(38) 关注此漏洞
缺陷编号: WooYun-2016-194900
漏洞标题: 印象笔记某处设计缺陷/可暴力破解+大规模撞库
相关厂商: 印象笔记
漏洞作者: 路人甲
提交时间: 2016-04-11 11:15
公开时间: 2016-04-12 15:16
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
自评Rank: 15
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 暴力破解 设计缺陷 撞库攻击
漏洞详情
披露状态:
2016-04-11: 细节已通知厂商并且等待厂商处理中
2016-04-11: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-04-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
/bugs/wooyun-2014-062202
厂商回复:
感谢您的提交.
对于验证码,出于用户体验的考虑,在环节我们没有设置验证码,但有登录失败次数限制作为保护.
对于安全要求较高的用户,我们提供了二次验证,对未授权的登录需要短信进行额外的验证.
替 @小胖胖要减肥 抱不平,这话的意思是否可以理解为免费用户贵站就可以区别对待,不提供更多安全方面的保障?请三思。
详细说明:
问题是在个人中心=>基本设置=>修改邮箱处发现的:
抓包分析:
此处正常的业务逻辑应该是校验当前用户的密码有效性,替换"username"和"password"参数后可以去校验其它用户的密码有效性,从而引发暴力破解和撞库攻击。
漏洞证明:
length为900多的为撞库成功的记录,经测试此处有IP限制,没有账号限制,IP限制约为45次,即一个IP可以尝试撞库45次,加上自动换代理的功能,完全可以进行大规模撞库攻击。
附一撞库成功用户:
修复方案:
此处为设计缺陷,请认真对待,谢谢!
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-04-12 15:16
厂商回复:
最新状态:
2016-04-13:感谢关注印象笔记。 本报告中所提及现象与/bugs/wooyun-2014-062202重复。 印象笔记向所有用户(包括免费,标准,高级及企业用户)均提供两步验证功能。以下内容摘自印象笔记网站《安全描述》页面(https://www.yinxiang.com/security/): ~~~~~~~~~~~~~~~~~~~~~~~~~~ 虽然我们不会强制用户设置复杂的密码,但我们的密码强度指示器会鼓励用户选择一个不宜破解的高强度密码。我们会针对同一帐户或来自同一地址的登录尝试次数设限,降低他人破解密码进行登录的风险。 印象笔记为所有帐户提供两步验证(2SV)。我们的两步验证机制是有时间限制的一次性密码算法。所有用户都可以通过使用手机上的应用来生成本地密码,高级帐户和企业用户可以选择将密码以短信的形式发送至手机。 ~~~~~~~~~~~~~~~~~~~~~~~~~~
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
( 核心白帽子 | Rank:3144 漏洞数:625 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
( 普通白帽子 | Rank:686 漏洞数:101 )
评论