漏洞概要 关注数(19) 关注此漏洞
缺陷编号: WooYun-2016-185595
漏洞标题: 爱奇艺邮箱弱口令涉及敏感信息
相关厂商: 奇艺
漏洞作者: answer![爱奇艺邮箱弱口令涉及敏感信息]()
提交时间: 2016-03-17 09:29
公开时间: 2016-05-01 10:14
漏洞类型: 内部绝密信息泄漏
危害等级: 高
自评Rank: 12
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 安全意识不足 安全意识不足
漏洞详情
披露状态:
2016-03-17: 细节已通知厂商并且等待厂商处理中
2016-03-17: 厂商已经确认,细节仅向厂商公开
2016-03-27: 细节向核心白帽子及相关领域专家公开
2016-04-06: 细节向普通白帽子公开
2016-04-16: 细节向实习白帽子公开
2016-05-01: 细节向公众公开
简要描述:
,大牛人很好的,所以关注下爱奇艺的安全。
详细说明:
1、我觉得爱奇艺的有账号设置有个逻辑问题,一个拿到offer但是没有入职的员工,其实已经提前生成好了用户名和默认密码。(你问我怎么知道的,我也是后来发现的)
2、还有一个问题就是,邮箱登录处可以爆破
从以前漏洞,
我再结合常见的键盘弱口令,组成一个小字典
123qwe!@#
qwe123!@#
ZAQ!xsw2
ZAQ!2wsx
2wsx#EDC
@WSX3edc
#EDC2wsx
3edc$RFV
#EDC4rfv
$RFV3edc
4rfv#EDC
%TGB6yhn
5tgb^YHN
^YHN5tgb
6yhn%TGB
6yhn&UJM
^YHN7ujm
&UJM6yhn
7ujm^YHN
8ik,(OL>
*IK<9ol.
2wsx!QAZ
!QAZ2wsx
QIyiwoaini
用户名就用的top500的姓名。
然后在https://mail.qiyi.com 进行爆破(似乎,请求开低点,不会禁ip)
不久后就出来了两个账号密码
username=liujia&
username=zhangling&
明显是默认密码呀,我尝试登录
需要改密码,猜测是还未使用过的账号,我修改其中一个账号的密码为liujia wooyun123!@#(请见谅)。我登进邮箱,果然是一封邮件都没有,确实是个新邮箱,是个还未入职的员工。
虽然没有邮件,但是可以看所有联系人。为了扩大战果,我就把公司员工邮箱爬了5000下来继续爆破(这样成功率更高)
密码还是同上。很快,就爆出了2个账号。其中一个似乎是运维,泄露了太多敏感信息。
哈哈,和lijiejie的邮件来往还挺多的,来看看 lijiejie平时都在干嘛把。
lijiejie挺忙的呢。
泄露很多其他敏感信息
其他敏感信息不再贴出,毕竟运维人员,掌握的敏感信息太多。
其实安全做的挺不错的,每周还有安全周报,然而密码的确符合“强”的标准,只不过是强弱口令罢了。
本来是想去登录vpn,后来才发现做了二次验证,所以就没有深入了。
至于危害,如果继续在邮件里收集信息,内网漫游只是时间问题
漏洞证明:
同上
修复方案:
1、不要生成默认口令
2、邮箱设置个验证码吧 至少
版权声明:转载请注明来源 answer@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2016-03-17 10:14
厂商回复:
感谢 @answer 的报告,我们正在着手彻底解决邮箱弱口令和暴力破解的问题。 希望answer今后加入爱奇艺,帮助我们发现更多的安全问题。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
( 普通白帽子 | Rank:941 漏洞数:108 )
( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队,啥都干不成!!!)
( 普通白帽子 | Rank:453 漏洞数:54 | 答案)
评论