简要描述:
对保存在客户端的用户认证信息使用和处理存在问题。其他如xss 问题很容易引起认证体系崩溃。尤其是涉及到订单等金钱交易。
详细说明:
qunar.com 的认证体系核心是基于qvt 三项cookie,而这三项cookie虽然会变化,但是,服务器端只是使用了一个算法去验证数据的正确性,而没有验证cookie的时效性,所以,如一个攻击者通过xss 获取其他用户的cookie,那攻击者就可以使用这个cookie 顶替受害者做任何操作。而并不需要使用受害者的密码及账户等信息。并且,只要认证体系不改,这个cookie就永久有效,即使受害者修改了密码也无济于事。而找个xss,这个太容易了吧,
漏洞证明:
burp,直接拿自己的已经注销登录的cookie放进去试试就知道了。
修复方案:
改吧,别以为攻击用户只是攻击用户名和密码!
作者unic02n@乌云