优酷某API缺陷导致撞库获取VIP账号等(证明可获取大量VIP用户)

编号106567
Urlhttp://www.wooyun.org/bug.php?action=view&id=106567
漏洞状态厂商已经确认
漏洞标题优酷某API缺陷导致撞库获取VIP账号等(证明可获取大量VIP用户)
漏洞类型账户体系控制不严
厂商优酷
白帽子小手冰凉
提交日期2015-04-08 15:06:00
公开日期2015-05-23 18:42:00
修复时间(not set)
确认时间2015-04-08 00:00:00
Confirm Spend0
漏洞标签设计缺陷
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank20
漏洞简介
优酷某API缺陷导致撞库 查询VIP等
漏洞细节

第一步:
使用android端优酷登录并抓包,获得如下数据包

捕获1.PNG


打码有点乱不好意思。这里提交的字段有很多,经过进一步精简测试后得出如下可用数据包

捕获2.PNG


可以看出只有这三个关键字段,用户名,密码(md5加密的),另外一个推测是类似于“method”的固定字段。这样就获得了优酷的私有登陆API。
有了登陆请求数据包就不难进行批量撞库,经测试,优酷进行了一定的限制,比如同一个用户测试次数(爆破)不可行,而且速度太快也不行。但是限制的不够彻底,如果程序使用单线程进行撞库还是有效的。
第二步:
使用如上数据包成功登陆后会返回类似token的字段。利用与上面相同的抓包精简方法找到查询VIP的API,{/common/v3/member_vip_info?pid=87c959fb273378eb} 只要带着刚才的"token"访问这个页面就可以获得VIP信息。

POC

危害证明
这只是使用了一个公开库撞库的结果,想不到竟然有人vip时间这么久。

捕获3.PNG

修复方案

1.对API增加校验字段,校验算法用jni实现防止被简单反编译
2.限制单个ip登陆次数,无论是相同用户名还是不同用户名

状态信息 2015-04-08: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开
厂商回复多谢提醒,已安排处理!
回应信息危害等级:高漏洞Rank:20 确认时间:2015-04-08 18:41
Showing 1-14 of 14 items.
评论内容评论人点赞数评论时间

撞库小王子

北丐02015-07-08 15:07:00

求份撞库字典,谢谢

Zhe02015-06-11 20:41:00

优酷到期了求vip,发私信

行侠02015-05-25 11:18:00

来个优酷VIP,大兄弟

鸡鸡02015-04-13 21:06:00

来个优酷VIP

px162402015-04-09 10:06:00

求份撞库字典

milan02015-04-09 10:05:00

求份撞库字典

我是小号602015-04-08 22:40:00

@疯狗 注意查收

小手冰凉02015-04-08 18:53:00

厂家给力!

小手冰凉02015-04-08 18:53:00

@’‘Nome 就叫“牛逼的ID”吧

疯狗02015-04-08 18:41:00

@小手冰凉 要先在右上角点进“短消息”

疯狗02015-04-08 18:41:00

@疯狗 我怎么找不到发站内信的按钮

小手冰凉02015-04-08 16:05:00

@疯狗 乌云号到期了,求个牛逼点的ID

’‘Nome02015-04-08 15:13:00

优酷到期了,求个账号。

疯狗02015-04-08 15:06:00