360任意密码修改漏洞详情公布

　　去年11月底，乌云平台发布报告称，360旗下多款产品存在任意用户密码修改漏洞，可泄露通讯录、短信、通话记录等。360方面很快予以确认并进行了修复。

　　按照乌云平台的规矩，这个漏洞的详情如今可以向公众开放了，乌云官方微博也再次介绍了该漏洞。

看看发现者是怎么发现、利用的吧——

　　发现者称，他是因为忘记了360账号的密码才发现这个漏洞的。通过密码找回功能，他得到了来自360的一封邮件，其中有个修改密码的链接地址：

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290669

末尾的qid=507290669就是用户标识符。如果改成别人的会怎么样呢？

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290670

打开这个链接，360网站提示可以修改，这就意味着所有账号都如此。

虽然不知道别人的账号，进入个人中心也没有ID提示，但是原作者注意到了360旗下的另一个网站我喜欢：

http://www.woxihuan.com/star/timeline?qid=268296138

而从这里的qid是可以找到账号名称的，比如这个就对应明星苗圃。

于是我们得到了如下链接：

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=268296138

接下来要用到常见的黑客抓包工具Burpsuite，在利用找回密码链接修改密码时截取它post的包，就能成功修改别人的密码。

　　同时还发现，在知道邮箱地址、不知道qid的情况下，同样可以修改密码。

　　首先用自己的账号获取一个360找回密码的链接，然后在修改密码时截包，将其中的uname修改为要修改密码的目标邮箱，比如说410316816@qq.com，就可以了。

　　漏洞证据：

　　苗圃的我喜欢：

　　苗圃的360云盘：

　　手机防盗：

　　360个人中心：

　　360浏览器收藏夹：

　　还是手机防盗：

　　通讯录：

　　登录之后恢复通讯录：