車百匯網店 autoway online Weak password change or reset functionalities - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2016-00209
  • Vendor: 車百匯網店 autoway online
  • Title: 車百匯網店 autoway online Weak password change or reset functionalities
  • Introduction: 帳號可猜測並且所有帳號重設密碼值為固定值

處理狀態

目前狀態

公開
Last Update : 2016/11/18
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2016/09/16 10:58:04 : 新提交 (由 Walter 更新此狀態)
  • 2016/09/26 09:17:40 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/09/27 23:09:53 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/11/16 03:00:02 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/11/18 01:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2016-00209
  • 通報者:ewater (Walter)
  • 風險:高
  • 類型:弱密碼 (Weak Passwords)

參考資料

使用預設密碼或過於簡單之密碼,可經由該問題取得後台完整權限,且容易造成大量資訊外洩。

OWASP Top 10 - 2017 A2 - Broken_Authentication
https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication

CWE-521: Weak Password Requirements
https://cwe.mitre.org/data/definitions/521.html

HOW SECURE IS MY PASSWORD?
https://howsecureismypassword.net/
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.autoway.tw/Personal/login.aspx
https://www.autoway.tw/Member/forgetpwd/

敘述

漏洞種類:Guessable User Account (OTG-IDENT-004)
重現方式:於 https://www.autoway.tw/Personal/login.aspx 輸入不存在的帳號會提示帳號不存在,並且不需要輸入CAPTCHA
漏洞影響:帳號可被大量猜測
截圖說明:
www.autoway.tw_account_guessable:網站提示該帳號不存在
修補方式:不可提示使用者該帳號是否存在,應該以較為模糊之字詞,如“帳號或密碼錯誤”較為安全,且需驗證碼通過後再進行告知是否錯誤,另外驗證碼強度也不足,建議使用較為複雜之驗證碼或使用reCaptcha

漏洞種類:Weak password change or reset functionalities (OTG-AUTHN-009)
重現方式:註冊,並至 https://www.autoway.tw/Member/forgetpwd/ 重設密碼
漏洞影響:可被重設密碼,且密碼為固定值-PJKAAR (且不分大小寫),因此攻擊者只要知道帳號就可以藉由密碼重設功能來取得帳號
截圖說明:
www.autoway.tw_reset_password_fixation-1:第一次重設密碼-PJKAAR
www.autoway.tw_reset_password_fixation-2:登入後重新設定密碼之通知信
www.autoway.tw_reset_password_fixation-3:第二次重設密碼仍為固定值-PJKAAR
www.autoway.tw_reset_password_fixation-4:使用別的帳號重設密碼仍為PJKAAR
修補方式:密碼重設應為亂數,且需區分大小寫,方能確保密碼之強度

擷圖

留言討論

;