可以欺骗劫持进入来往用户的帐号

编号40673
Urlhttp://www.wooyun.org/bug.php?action=view&id=40673
漏洞状态厂商已经确认
漏洞标题可以欺骗劫持进入来往用户的帐号
漏洞类型设计缺陷/逻辑错误
厂商阿里巴巴
白帽子呆子不开口
提交日期2013-10-22 17:25:00
公开日期2013-12-06 17:26:00
修复时间(not set)
确认时间2013-10-24 00:00:00
Confirm Spend2
漏洞标签逻辑错误 认证设计不合理
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank10
漏洞简介
可以欺骗劫持进入来往用户的帐号,而且非常容易欺骗成功
漏洞细节

来往有个网页版,可以利用客户端登录网页版来扫描登录

dlu.png


saodl.png


就是说用在登录网页版的功能中,扫描网页上的二维码,网页版即登录成功
但是我试了下添加好友的扫一扫功能,如果扫此二维码,也会使网页版登录成功
所以,我可以把网页版生成的二维码发给好友或发在微博上,说这是我的来往帐号二维码,请大家加我好友。他只要用添加好友的扫一扫扫一下,我这边的网页版就以他的身份登录成功了
如下是我欺骗好友成功的截图

POC

QQ截图20131022171912.png


QQ截图20131022163531.png

修复方案

添加好友功能的扫描尽量不要识别登录的功能
或者识别出后,给出安全提示,让用户确认是否是自己操作

状态信息 2013-10-22: 细节已通知厂商并且等待厂商处理中
2013-10-24: 厂商已经确认,细节仅向厂商公开
2013-11-03: 细节向核心白帽子及相关领域专家公开
2013-11-13: 细节向普通白帽子公开
2013-11-23: 细节向实习白帽子公开
2013-12-06: 细节向公众公开
厂商回复感谢您对我们的支持与关注哦,该问题我们正在修复中~~
回应信息危害等级:中漏洞Rank:10 确认时间:2013-10-24 13:54
Showing 1-22 of 22 items.
评论内容评论人点赞数评论时间

要口水战了...

猪是念着倒V02013-10-24 15:57:00

楼主要火啊

sdj02013-10-24 13:56:00

@寂寞的瘦子 有空出来玩玩啊!

→Hack涛02013-10-24 10:04:00

@→Hack涛 恩。杭州都大学

寂寞的瘦子02013-10-24 09:42:00

@寂寞的瘦子 呵呵呵!你是杭州的?

→Hack涛02013-10-24 09:14:00

@→Hack涛 你的一系列感叹号令我的心情久久无法平静。

寂寞的瘦子02013-10-24 09:04:00

http://weibo.com/3754312562/Afoay9QFs 一起[弱]!

齐迹02013-10-24 09:04:00

@寂寞的瘦子 NONONO!我四年前早不是学生了!我也不是下沙的!我是余杭的!但是现在五个月是学生了!正在学习php!现在在上海

→Hack涛02013-10-24 08:56:00

@→Hack涛 你是杭州下沙的?目测还是个学生?

寂寞的瘦子02013-10-23 23:29:00

为洞主错过IPAD表示郁闷了!替你感到心痛啊!

→Hack涛02013-10-23 22:42:00

@Fz-sea 哼,小看人

呆子不开口02013-10-23 14:00:00

标题看的不是很明白 不知道是不是智商拙计

围剿02013-10-23 08:18:00

@呆子不开口 晕,你是说cookies劫持把?腾讯微博什么都有这个问题,这个问题是处在WIFI不安全,个人认为非APP问题

Fz-sea02013-10-23 08:01:00

标题看不明白啊。

雅柏菲卡02013-10-23 07:07:00

@zzR 产品的问题

呆子不开口02013-10-22 20:50:00

@呆子不开口 这个是产品的问题还是网络的问题?!

zzR02013-10-22 19:43:00

洞主!你谈事儿了;

X,D02013-10-22 18:56:00

@呆子不开口 @Fz-sea “来往”是阿里巴巴旗下的社交APP。

养乐多Ngan02013-10-22 18:39:00

@Fz-sea 灯初上夜未央,来往的人多匆忙,路上的行人呀,一定不要连别人的wifi

呆子不开口02013-10-22 18:08:00

看标题看不懂啊。。。

Fz-sea02013-10-22 18:02:00

@xsser 你说话文绉绉的,听不懂

呆子不开口02013-10-22 17:41:00

不科学啊

xsser02013-10-22 17:26:00