正文内容 评论(0

360任意密码修改漏洞详情公布
2014-01-14 15:59:19  出处:快科技 作者:上方文Q 编辑:上方文Q     评论(0)点击可以复制本篇文章的标题和链接

去年11月底,乌云平台发布报告称,360旗下多款产品存在任意用户密码修改漏洞,可泄露通讯录、短信、通话记录等。360方面很快予以确认并进行了修复。

按照乌云平台的规矩,这个漏洞的详情如今可以向公众开放了,乌云官方微博也再次介绍了该漏洞。

360任意密码修改漏洞详情公布

看看发现者是怎么发现、利用的吧——

发现者称,他是因为忘记了360账号的密码才发现这个漏洞的。通过密码找回功能,他得到了来自360的一封邮件,其中有个修改密码的链接地址:

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290669

末尾的qid=507290669就是用户标识符。如果改成别人的会怎么样呢?

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290670

打开这个链接,360网站提示可以修改,这就意味着所有账号都如此。

虽然不知道别人的账号,进入个人中心也没有ID提示,但是原作者注意到了360旗下的另一个网站我喜欢:

http://www.woxihuan.com/star/timeline?qid=268296138

而从这里的qid是可以找到账号名称的,比如这个就对应明星苗圃。

于是我们得到了如下链接:

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=268296138

接下来要用到常见的黑客抓包工具Burpsuite,在利用找回密码链接修改密码时截取它post的包,就能成功修改别人的密码。

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

同时还发现,在知道邮箱地址、不知道qid的情况下,同样可以修改密码。

首先用自己的账号获取一个360找回密码的链接,然后在修改密码时截包,将其中的uname修改为要修改密码的目标邮箱,比如说410316816@qq.com,就可以了。

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

漏洞证据:

苗圃的我喜欢:

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

苗圃的360云盘:

360任意密码修改漏洞详情公布

手机防盗:

360任意密码修改漏洞详情公布

360个人中心:

360任意密码修改漏洞详情公布

360浏览器收藏夹:

360任意密码修改漏洞详情公布

还是手机防盗:

360任意密码修改漏洞详情公布

通讯录:

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

登录之后恢复通讯录:

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

360任意密码修改漏洞详情公布

 

【本文结束】如需转载请务必注明出处:快科技

责任编辑:

  • 支持打赏
  • 支持0

  • 反对

  • 打赏

文章价值打分

当前文章打分0 分,共有0人打分
  • 分享好友:
  • |
本文收录在
#360#黑客

  • 热门文章
  • 换一波

  • 好物推荐
  • 换一波

  • 关注我们

  • 微博

    微博:快科技官方

    快科技官方微博
  • 今日头条

    今日头条:快科技

    带来硬件软件、手机数码最快资讯!
  • 抖音

    抖音:kkjcn

    科技快讯、手机开箱、产品体验、应用推荐...