漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-03-24: 细节已通知厂商并且等待厂商处理中
2015-03-25: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向核心白帽子及相关领域专家公开
2015-04-14: 细节向普通白帽子公开
2015-04-24: 细节向实习白帽子公开
2015-05-09: 细节向公众公开
简要描述:
搜狗号码通网站的查询页面(http://haoma.sogou.com/rz/),因为对访问频率的限制上存在防护缺陷,导致可暴力跑数据,会导致大量的用户标记的联系人数据的泄露。
详细说明:
1、搜狗号码通是个移动设备的APP,同时网站上提供号码的标记查询功能
2、想着会不会出现可以暴力跑数据的情况,测试的时候,通过遍历URL中的号码字段进行尝试,发现跑不到200个之后会被拦截
3、通过分析查询过程的请求包发现:每次请求是发两个包,但我们查询的结果已经存在第一个包的返回数据中,如果服务器并没有对第一个包的请求频率进行限制,通过模拟浏览器的行为,只处理第一个包,可以达到暴力跑数据的效果。
总结:联系人数据属于敏感数据,该网站对防止暴力爬取的策略逻辑上存在疏漏,只防护了search_result.php页面,但由于设计疏漏,标记的号码数据在前一个数据包中已经返回,同时未对前一个访问请求进行频率限制,利用该疏漏,可暴力爬取号码数据。
漏洞证明:
首先声明:漏洞测试只持续了2个小时,并未大量获取数据
单线程测试时间:约每分钟能跑100个,一直不会被拦截。
1、测试程序
2、示例结果数据
修复方案:
建议:
1、对最初的查询入口(http://haoma.sogou.com/rz/)进行访问频率的限制
2、梳理所有可能的查询入口,进行访问频率限制
版权声明:转载请注明来源 nyexia@乌云
>
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2015-03-25 14:37
厂商回复:
感谢支持
最新状态:
2015-03-25:已修复