美丽说淘宝买东西不用验证码为何总是显示短信验证码错误

来源:蜘蛛抓取(WebSpider) 时间:2014-10-06 11:48 标签: 淘宝买东西需要验证码
分享漏洞:
披露状态:
: 细节已通知厂商并且等待厂商处理中
: 厂商已经确认,细节仅向厂商公开
: 细节向核心白帽子及相关领域专家公开
: 细节向普通白帽子公开
: 细节向实习白帽子公开
: 细节向公众公开
简要描述:
撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。
详细说明:
之前提交一个被忽略了~~~说是信息不准确。首先提交到乌云的漏洞都是验证过的,如果无法复现可以沟通,其次我也忽略了一下细节,没有详细说明。美丽说是对IP有限制的,登录失败需要验证码,但是可以用随机xff 头绕过。限制IP的策略里获取IP的方式存在问题,导致可以伪造IP绕过限制。 主站 登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号
漏洞证明:
经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号.目前互联网上公开的账号都有数亿的规模,真要被利用的话危害还是很大的。
code 区域zy4334833 zyzy4833
carolinemomo
qqlwz lwz6967760
audan 11.25audan
Cinderellazhan kittyzhan
yufei65328
xiaoxue1989 wujingxue
woaiwangdi woaiwangdi
janery655 janery
chenfeioa 020220oa
xyz890717 xyz665272xyz
baojiong bao12345
nilanlan nilanlan
likefunv gq
yaya1202 liuyaya1202
cxtalent chenxin8758
vdgame wxq123
tanya007 wenyi775
baixiaoba shmily44
dongwei35267
zm7610 mickey99
code 区域POST /aw/user/logon HTTP/1.1
Connection: close
Content-Length: 150
Accept: application/json, text/javascript, */*; q=0.01
nt: 1yQyN1tU7ssTVQ5GeZ16w+KpzqqTADOG8roSKLDbp1cVyoUvYIc9+LcLVpA7B+y6
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (M Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0. Safari/537.36
Content-Type: application/x-www-form- charset=UTF-8
Referer: /user/login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,q=0.8,q=0.6
Cookie: SEASHELL=tzy9NVUzI4VLvfK2D1BsAg==; CHANNEL_FROM=0; MEILISHUO_GLOBAL_KEY=08a863369fcdfbf1f394; santorini_mm=cf3df201f32fafc; Hm_lvt_dde72e241ea4e39b97eca9a01eea2dda=; Hm_lpvt_dde72e241ea4e39b97eca9a01eea2dda=; pgv_pvi=; pgv_si=s; LOGON_FROM=http%3A%2F%%2F; numInCart=0
RA-Ver: 2.9.0
RA-Sid: 7B9DD012-129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
login_name=baixiaoba@hotmail%2ecom&password=shmily44&save_state=1&checkcode=&nt=1yQyN1tU7ssTVQ5GeZ16w%2BKpzqqTADOG8roSKLDbp1cVyoUvYIc9%2BLcLVpA7B%2By6
修复方案:
撞库防御参考资料:http://stayliv3.github.io//%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/
版权声明:转载请注明来源 @
厂商回应:
危害等级:中
漏洞Rank:8
确认时间: 12:31
厂商回复:
非常感谢您对美丽说安全的关注,已联系业务部门紧急修复。
最新状态:
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
求整理字典
我猜你是@D&G
@小龙 猜对了。。。
登录后才能发表评论,请先我在淘宝上买东西,不知道为什么总是有验证码发到我爸手机上,怎么取消短信验证_百度知道
我在淘宝上买东西,不知道为什么总是有验证码发到我爸手机上,怎么取消短信验证
先确定你是用你自己身份证办的支付宝,然后你可以支付宝上捆绑另外一张自己的银行卡就可以了,预留的电话建议用自己的
其他类似问题
为您推荐:
短信验证的相关知识
其他1条回答
肯定是预留电话是你爸的
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁为什么我的淘宝验证码不对,明明是按照短信上填写的,为什么显示验证码错误呢????????_百度知道
为什么我的淘宝验证码不对,明明是按照短信上填写的,为什么显示验证码错误呢????????
我有更好的答案
今天好多人都遇到这个情况了,网站出问题了吧
哦哦,我把淘宝卸载了,不知道东西能不能收到
是不是过期了,
不是啊,就是刚收到的验证码
那你让楼下的教你吧。
你好我教你
。。。。。。
其他类似问题
为您推荐:
验证码错误的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁中国银行在淘宝支付时为什么一直都说手机验证码错误呢_百度知道
提问者采纳
不是手机收到的验证码有问题,是下个方框需要输入的图片验证码有错误。这么做:输完手机验证码后,在下个方框输入的时候点一下“换一张”后,再输入,就可以了。
我的那个页面不要输入你说的那个啊
那就不知道了!
提问者评价
谢谢你的回答,呵呵 我弄好了~~~是我没网银没开通一个东西。。汗啊 谢谢 哈哈
其他类似问题
为您推荐:
您可能关注的推广回答者:
验证码错误的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁手机点击美丽说领美美豆验证码为什么怎么输都不对?会显示错误_百度知道
网络延迟,建议重启手机或者检查网络。
其他类似问题
为您推荐:
美丽说的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁

我要回帖

更多关于 淘宝买东西需要验证码 的文章

 

随机推荐