去年11月底,乌云平台发布报告称,360旗下多款产品存在任意用户密码修改漏洞,可泄露通讯录、短信、通话记录等。360方面很快予以确认并进行了修复。
按照乌云平台的规矩,这个漏洞的详情如今可以向公众开放了,乌云官方微博也再次介绍了该漏洞。
发现者称,他是因为忘记了360账号的密码才发现这个漏洞的。通过密码找回功能,他得到了来自360的一封邮件,其中有个修改密码的链接地址:
末尾的qid=507290669就是用户标识符。如果改成别人的会怎么样呢?
打开这个链接,360网站提示可以修改,这就意味着所有账号都如此。
虽然不知道别人的账号,进入个人中心也没有ID提示,但是原作者注意到了360旗下的另一个网站我喜欢:
http://www.woxihuan.com/star/timeline?qid=268296138
而从这里的qid是可以找到账号名称的,比如这个就对应明星苗圃。
于是我们得到了如下链接:
接下来要用到常见的黑客抓包工具Burpsuite,在利用找回密码链接修改密码时截取它post的包,就能成功修改别人的密码。
同时还发现,在知道邮箱地址、不知道qid的情况下,同样可以修改密码。
首先用自己的账号获取一个360找回密码的链接,然后在修改密码时截包,将其中的uname修改为要修改密码的目标邮箱,比如说410316816@qq.com,就可以了。
漏洞证据:
苗圃的我喜欢:
苗圃的360云盘:
手机防盗:
360个人中心:
360浏览器收藏夹:
还是手机防盗:
通讯录:
登录之后恢复通讯录:
