当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03713

漏洞标题:移动CMCC热点上网,信息被嗅探及cookies劫持

相关厂商:中国移动

漏洞作者: 赵小布

提交时间:2011-12-22 14:28

修复时间:2011-12-27 14:29

公开时间:2011-12-27 14:29

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:11

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-12-22: 细节已通知厂商并且等待厂商处理中
2011-12-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通过移动的热点上网(CMCC),信息易被嗅探获取,同时可进行cookies劫持攻击

详细说明:

通过移动的热点上网(CMCC),AP未采用加密措施来传输信息,包括手机号码,密码等信息易被嗅探获取,同时可进行cookies劫持攻击

漏洞证明:



修复方案:

版权声明:转载请注明来源 赵小布@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-12-27 14:29

厂商回复:

漏洞Rank:9 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2011-12-28 01:55 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个其实很亮~~

  2. 2011-12-28 18:07 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    这个。。。内网其实。。。能防嗅探?

  3. 2012-02-03 17:36 | CC米业 ( 实习白帽子 | Rank:33 漏洞数:4 | 网络安全研究者)

    这漏洞其实还是可以利用的,为什么...

  4. 2012-02-17 14:50 | edgerror ( 路人 | Rank:5 漏洞数:1 )

    在cmcc用户认证的时候可以看到post的手机号和密码,用这个你就能免费在cmcc上网啦,抓上几十个,一年就够用了.

  5. 2012-05-01 00:45 | 冬冬 ( 实习白帽子 | Rank:53 漏洞数:16 | 学习中.....)

    我就用的这上网.....

  6. 2013-01-06 01:53 | 双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)

    要先认证再抓?

  7. 2013-03-06 11:22 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    为何厂商忽略?高危啊

  8. 2013-06-21 12:56 | 噬魂 ( 普通白帽子 | Rank:141 漏洞数:37 | 08安全团队)

    怎么抓。。。。唉

  9. 2013-11-23 17:55 | coolxll ( 路人 | Rank:4 漏洞数:1 | 渗透测试工程师)

    Hamster sidejacking 不知道能不能在Chinanet上重现

  10. 2015-01-14 19:55 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!