当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014499

漏洞标题:手机珍爱网设计缺陷(暴力破解看妹子!)

相关厂商:珍爱网

漏洞作者: Finger

提交时间:2012-11-08 11:13

修复时间:2012-12-23 11:13

公开时间:2012-12-23 11:13

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-08: 细节已通知厂商并且等待厂商处理中
2012-11-09: 厂商已经确认,细节仅向厂商公开
2012-11-19: 细节向核心白帽子及相关领域专家公开
2012-11-29: 细节向普通白帽子公开
2012-12-09: 细节向实习白帽子公开
2012-12-23: 细节向公众公开

简要描述:

手机珍爱网设计缺陷 账号易遭暴力破解

详细说明:

手机珍爱网登陆页无验证码 易遭暴力破解
http://m.zhenai.com/index.do

漏洞证明:

微博桌面截图_20121108105755.jpg


微博桌面截图_20121108104759.jpg


破解账号的同时 可进行二次破解 猜解出其手机号被隐藏的四位数
之前已经有人提交过一些其他网站的此类漏洞 忽略的居多
网络安全无小事 尤其是威胁到用户安全的 真爱网这样存有用户一些个人资料的网站 其账户一旦被破解的话 是真的可能会威胁到用户安全的 还请认真对待 无非是加个验证码嘛

安全不只是技术,还是一种态度!

修复方案:

频繁登陆及多次错误加验证码

版权声明:转载请注明来源 Finger@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-11-09 21:12

厂商回复:

安全无小事,谢谢finger。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-08 11:16 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    敢不敢给几个内蒙古的妹纸?

  2. 2012-11-08 11:16 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    或者 帮我查个妹纸的信息?

  3. 2012-11-08 11:18 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @鬼魅羊羔 自己去破解去呗 多简单的事儿啊 用burp suite

  4. 2012-11-08 11:20 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Finger 我要现成的。。

  5. 2012-11-08 11:22 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @鬼魅羊羔 你妹的啊!

  6. 2012-11-08 12:02 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    有妹纸? 来我这里做客服吧

  7. 2012-11-08 13:24 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @珍爱网 可能还有其他易遭暴力破解的地方 自查一下吧

  8. 2012-11-08 14:14 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    同一手法、同一洞主、坐等细节、坐等妹纸。

  9. 2012-11-10 14:10 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    lz要赶在双十一之前脱光么......