当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014506

漏洞标题:手机世纪佳缘网设计缺陷

相关厂商:世纪佳缘

漏洞作者: Finger

提交时间:2012-11-08 14:11

修复时间:2012-11-13 14:12

公开时间:2012-11-13 14:12

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-08: 细节已通知厂商并且等待厂商处理中
2012-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

手机世纪佳缘网设计缺陷 账号易遭暴力破解

详细说明:

手机世纪佳缘网登陆页无验证码 账号易遭暴力破解
http://wap.jiayuan.com/
http://3g.jiayuan.com/
http://m.jiayuan.com/
另外 已经验证手机的 手机号居然直接显示 算是个小安全问题吧

漏洞证明:

世纪.jpg


shiji.jpg


shouji.jpg


加个验证码的事儿 却可以更好的保障用户安全
另外手机那里不要全显示啊

安全不只是技术,还是一种态度!

修复方案:

频繁登陆及多次登陆错误时加验证码

版权声明:转载请注明来源 Finger@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-13 14:12

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-08 14:14 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    同一手法、同一洞主、坐等细节、坐等妹纸。

  2. 2012-11-08 14:17 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    我去...坐等公开..公开..忽略...

  3. 2012-11-08 14:20 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @鬼魅羊羔 @瓜瓜 没啥技术含量 但我认为确实会威胁用户隐私安全 修补无非就是加个验证码

  4. 2012-11-08 14:56 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    @Finger 通过字典暴力猜解?...

  5. 2012-11-08 14:56 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    你是不是想找妹子才破这些网站的,其实你可以找胖子的 @心伤的胖子 无基友不乌云

  6. 2012-11-08 15:10 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @小胖胖要减肥 额~ 俺喜欢女人!!!!

  7. 2012-11-08 15:10 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @瓜瓜 对滴!

  8. 2012-11-08 16:18 | 广东欧珀移动通讯有限公司(乌云厂商)

    哇~~我要女人,大量漂亮女人,哈哈,坐等公开

  9. 2012-11-08 16:20 | 广东欧珀移动通讯有限公司(乌云厂商)

    @广东欧珀移动通讯有限公司 晕,被同事乱评论,怎么删不掉?

  10. 2012-11-08 16:22 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @广东欧珀移动通讯有限公司 哈哈哈哈哈

  11. 2012-11-08 16:35 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @广东欧珀移动通讯有限公司 行了,哥们,你就认了吧啊,找借口是没有用的。。。我们都看着呢,哈哈哈哈。。。

  12. 2012-11-08 16:35 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    @广东欧珀移动通讯有限公司 我去..@他 xsser 试试吧

  13. 2012-11-08 16:37 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    @Finger 泪奔..字典哇...多大

  14. 2012-11-08 16:40 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Finger 我也献上一个世纪佳缘的,嘿嘿。。。

  15. 2012-11-08 16:41 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @瓜瓜 1、可以破解指定号——难度大 需要的字典也大 2、可以固定几个弱口令 批量破解

  16. 2012-11-08 16:44 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    @Finger 感觉我适合第二个....但是user字典怎么寻找?遍历?

  17. 2012-11-08 16:44 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    我小小的代表一下@xsser说一句:我靠,你们又开始聊天儿了!?@广东欧珀移动通讯有限公司 @Finger @瓜瓜 @鬼魅羊羔

  18. 2012-11-13 14:21 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @xsser 这是忽略了么?

  19. 2012-11-13 14:33 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @风萧萧 是不是又是离职员工了?

  20. 2012-11-14 08:47 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    咱提交了 补不补是他们自己的事儿了