优酷主站某接口撞库泄露用户登录凭据(绕过安全策略有批量账号证明)

编号108980
Urlhttp://www.wooyun.org/bug.php?action=view&id=108980
漏洞状态厂商已经确认
漏洞标题优酷主站某接口撞库泄露用户登录凭据(绕过安全策略有批量账号证明)
漏洞类型设计缺陷/逻辑错误
厂商优酷
白帽子D&G
提交日期2015-04-20 12:15:00
公开日期2015-06-05 18:32:00
修复时间(not set)
确认时间2015-04-21 00:00:00
Confirm Spend1
漏洞标签撞库
关注数0
收藏数0
白帽评级
白帽自评rank18
厂商评级
厂商评rank15
漏洞简介
撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。
漏洞细节

优酷主站登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号
这里这个问题是可以百分百复现的。就是首先保证当前ip是正常状态,就是登陆时候不需要输入验证码。然后撞库的时候,随机xff clientip 头,我直接用burpsuite插件,好几个头都随机了。就可以撞库。
但是估计优酷在何时出现验证码有好几个策略,所以测试过程中也出现一些问题。
比如,一旦ip被标识为异常,开始出现验证码,再随机xff头也需要验证码。
测试发现有时候跑个5000次左右,真实的ip会被标识为异常。因为黑盒测试,所以后端逻辑也没有搞的很清楚,有问题可以联系我。

POC

经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号.目前互联网上公开的账号都有数亿的规模,真要被利用的话危害还是很大的。

mask 区域
*****sohu.com	*****
*****om huh*****
*****.com butj*****
*****126.co*****
*****3.com *****
*****com 49*****
*****ail.com*****
*****26.com *****
*****com mqq*****
*****.com *****
*****.com *****
*****com wh1*****
*****6.com h*****
*****cn.com*****
*****3.com *****
*****q.com *****
*****l.com 3*****
*****@126.com *****
*****3.com 1*****
*****com 57*****
*****3.com *****
*****l.com l*****
*****com 136*****
*****163.com*****
*****.com 84*****
*****mail.com*****
*****.com h*****
*****.com 2*****
*****m webo*****
*****126.com*****
*****com 82*****
*****.com 20*****
*****.com zh*****
*****.com 87*****
*****com 11*****
*****63.com sz*****
*****q.com *****
*****6.com 6*****
*****163.com 1*****
*****163.com*****
*****.com dar*****
*****com cy*****
*****cn.com*****
*****o.com.cn*****
*****3.com *****
*****com b0*****
*****[email protected]*****
*****a.com s*****
*****com xu*****
*****com 19*****
*****com x8*****
*****.net 6*****
*****n.com 1*****
*****63.com 1*****
*****ail.com *****
*****a.com 4*****
*****.COM 1*****
*****.com.cn *****
*****.com my*****
*****63.com s*****
*****hu.com *****
*****edu.cn 8*****
*****com 30*****
*****q.com *****
*****com hdo*****
*****3.com 19*****
*****63.com 3*****
*****om 7762*****
*****u.com xu*****
*****.com 00*****
*****6.com 7*****
*****26.com *****
*****1cn.com*****
*****cn.com *****
*****1cn.com*****
*****.com *****
*****.com 33*****
*****ina.co*****
*****se.com *****
*****com 69*****
*****com 833*****
*****om 817*****
*****.com 1*****
*****om 345*****
*****.com *****
*****3.com Sw*****
*****.com 19*****
*****com ad*****
*****com 52*****
*****com thi*****
*****tmail.com*****
*****n.com *****
*****.com z*****
*****163.com *****
*****com 12*****
*****q.com *****
*****com 78*****
*****l.com al*****
*****n.com *****
*****oo.com*****
*****com 139*****
*****3.com 1984*****
*****ohu.com*****
*****u.com 5*****
*****3.com 1*****
*****u.com *****
*****.com 8*****
*****.com 7*****
*****ail.com *****
*****a.com sta*****
*****ina.com 1*****
*****3.com s*****
*****a.com b*****
*****om 797*****
*****3.net t*****
*****.com 7*****
*****e.sh.c*****
*****n 8888*****
*****163.com*****
*****.com su*****
*****.com 8*****
*****63.com *****
*****.com y*****
*****com ra*****
*****3.com 1*****
*****ail.com *****
*****.com 8*****
*****.net wa*****
*****ail.com*****
*****com cu*****
*****63.net *****
*****163.com*****
*****63.com *****
*****.com *****
*****3.com *****
*****ina.co*****
*****.com bi*****
*****net ro*****
*****net jy*****
*****.com zx*****
*****om xzc*****
*****com ta*****
*****com lw*****
*****.com *****
*****com xi*****
*****com 50*****
*****sohu.com*****
*****cod*****


屏幕快照 2015-04-19 上午11.33.02.png


屏幕快照 2015-04-19 上午11.32.17.png


屏幕快照 2015-04-19 上午11.31.28.png


修复方案

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

状态信息 2015-04-20: 细节已通知厂商并且等待厂商处理中
2015-04-21: 厂商已经确认,细节仅向厂商公开
2015-05-01: 细节向核心白帽子及相关领域专家公开
2015-05-11: 细节向普通白帽子公开
2015-05-21: 细节向实习白帽子公开
2015-06-05: 细节向公众公开
厂商回复感谢关注优酷,漏洞修复中!
回应信息危害等级:高漏洞Rank:15 确认时间:2015-04-21 18:30
Showing 1-3 of 3 items.
评论内容评论人点赞数评论时间

又是你啊,膜拜

hackyandi02015-04-21 18:48:00

又是你啊,膜拜

小龙02015-04-20 14:51:00

求数据库呀

MeirLin02015-04-20 13:41:00