当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012354

漏洞标题:快乐购某应用泄露用户信息

相关厂商:快乐购物股份有限公司

漏洞作者: 风萧萧

提交时间:2012-09-18 16:17

修复时间:2012-11-02 16:18

公开时间:2012-11-02 16:18

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-18: 细节已通知厂商并且等待厂商处理中
2012-09-18: 厂商已经确认,细节仅向厂商公开
2012-09-21: 细节向第三方安全合作伙伴开放
2012-11-12: 细节向核心白帽子及相关领域专家公开
2012-11-22: 细节向普通白帽子公开
2012-12-02: 细节向实习白帽子公开
2012-11-02: 细节向公众公开

简要描述:

我是来求礼物送妹子的。

详细说明:

手机上安装了快乐购的客户端,在下列XML文件中:
/data/data/com.happigo.activity/shared_prefs/user_sharedPreferences.xml
存放用户敏感数据如:账号,密码,登录key等
所以其他应用在拿到root权限后可直接获取用户的登录信息。

漏洞证明:

修复方案:

对敏感信息进行加密,或采用其他方式认证

版权声明:转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-09-18 18:03

厂商回复:

感谢您的支持,我们将尽快修复

最新状态:

2012-10-22:漏洞已修复

2012-12-27:该漏洞已恢复!

漏洞评价:

评论

  1. 2012-09-18 16:18 | El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)

    我去你们爱上快乐购了啊。。都被日烂了

  2. 2012-09-18 16:21 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @El4pse 好快的留言速度!被日了以后才会更安全嘛,话说我不会日站哎,呵呵。

  3. 2012-09-18 16:36 | NiceWorm ( 普通白帽子 | Rank:179 漏洞数:38 )

    ....有礼物。。。爽。。

  4. 2012-09-18 16:44 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @NiceWorm NiceWorm帝有命令执行的么?你都是怎么找的啊?

  5. 2012-09-18 16:52 | NiceWorm ( 普通白帽子 | Rank:179 漏洞数:38 )

    @风萧萧 .....google搜 filetype:action.。。额向你学习啊。。

  6. 2012-09-18 17:05 | upload ( 普通白帽子 | Rank:251 漏洞数:43 | 此处略--!)

    @NiceWorm 执行帝你好,嘿嘿

  7. 2012-09-18 17:24 | NiceWorm ( 普通白帽子 | Rank:179 漏洞数:38 )

    @upload 额。。不是你教我的么

  8. 2012-09-18 17:40 | Jonasen ( 实习白帽子 | Rank:64 漏洞数:9 | have no)

    求收留!!!!

  9. 2012-09-18 17:57 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    礼物的吸引力有那么大么?