当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03337

漏洞标题:人人网登录时帐号密码明文发送

相关厂商:人人网

漏洞作者: X-Secure

提交时间:2011-11-17 19:48

修复时间:2011-11-22 19:49

公开时间:2011-11-22 19:49

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-11-17: 细节已通知厂商并且等待厂商处理中
2011-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人人网登录时帐号密码明文发送

详细说明:

email=明文帐号&password=明文密码


在同一局域网中可以轻松获取到他人的帐号密码

漏洞证明:

抓包即可看到

修复方案:

加密后再发送

版权声明:转载请注明来源 X-Secure@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-11-22 19:49

厂商回复:

漏洞Rank:1 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2011-11-19 12:05 | livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)

    这个不算漏洞把

  2. 2011-11-19 12:43 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个主要是国内的安全意识还没有跟上 用户如果知道自己的密码会在网络上明文传输 他能意识到这个并且拒绝在这样的网站登录的话 就好了~~对于Google肯定是个漏洞,对于人人这样的公司 我觉得他们不会认为

  3. 2011-11-19 13:04 | X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)

    这东西说打不大,说笑不笑。毕竟是可能泄露账号密码的一个问题。重视安全的公司看来这就是大问题,不重视安全的公司看来这就不是问题……但愿都能重视起来吧~

  4. 2011-11-22 09:39 | 笨猪 ( 实习白帽子 | Rank:56 漏洞数:13 | Jarett|最近忙,洞发得少。。)

    晕,疼迅的clientkey也是明文传输的,拿了之后一段时间内可以登空间登邮件等,也很危险的。。

  5. 2011-11-22 21:40 | coL.19Th ( 路人 | Rank:5 漏洞数:3 | coL.19Th)

    前提是必须局域网抓包啊

  6. 2011-11-22 22:47 | X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)

    也不见得就一定是局域网抓包。去网吧上网的时候呢?网吧管理员很轻易能获取吧~或者本地运营商被入侵?被最好还是加密后再传输的保险~~

  7. 2012-10-26 19:31 | ccst ( 路人 | Rank:11 漏洞数:4 | 学。。。)

    @xsser google也是这样。。。。