漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-02785
漏洞标题:友宝售货机注册漏洞
相关厂商:友宝在线
漏洞作者: PiaCa
提交时间:2011-09-05 18:15
修复时间:2011-09-10 18:16
公开时间:2011-09-10 18:16
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-09-05: 细节已通知厂商并且等待厂商处理中
2011-09-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
友宝自动售货机,手机注册可以送两张可乐券,用于购买可乐,但是服务端对注册新手机用户没有严格限制,造成可以注册任何手机号。
详细说明:
友宝自动售货机,手机注册可以送两张可乐券,用于购买可乐。
1、服务端对用户提交的手机号没有严格的认证,即使是虚假的手机号;
2、用户通过发送手机号注册请求后,服务端会往该手机号上面发送一个4位验证码;
3、服务端对这个验证码验证次数没有限制,并且服务端对这个验证码保存的时间足够用户暴力破解验证码进行注册
4、通过注册送的可乐券购买可乐
5、无限注册就能够无限免费购买可乐
漏洞证明:
修复方案:
1、服务端严格验证手机号正确性;
2、服务端设置手机验证码有效期限短一些
3、服务端设置手机验证码验证次数,避免恶意注册
版权声明:转载请注明来源 PiaCa@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-09-10 18:16
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
暂无