支付宝跟淘宝帐号通用，用支付宝帐号，可以查看淘宝的信息。。

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-07707

漏洞标题：支付宝跟淘宝帐号通用，用支付宝帐号，可以查看淘宝的信息。。

漏洞作者：断七

提交时间：2012-05-30 21:28

修复时间：2012-06-04 21:29

公开时间：2012-06-04 21:29

漏洞类型：账户体系控制不严

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-05-30：细节已通知厂商并且等待厂商处理中
2012-06-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

个人认为算是个安全隐患，因为支付宝帐号都是邮箱格式的，由于之前泄漏门很容易猜出支付宝密码，很多甚至都是一样的。知道支付宝密码以后直接切入到淘宝帐号，得到更多信息。。

详细说明：

这是我自己社工出来的，支付宝帐号，密码，但是淘宝的密码不一样，所以直接用支付宝登陆进去，一样查看的了。进入淘宝，看到了个人买东西留下的真实信息，手机，地址，等等。。。 PS：求个注册码，要是这个不算的话，再爆个淘宝分站的洞。。

漏洞证明：

这个淘宝帐号密码本来是不知道的，但是通过得到支付宝帐号密码，而得到了更多有用的个人真实信息，

修复方案：

自己看着办。

版权声明：转载请注明来源断七@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-06-04 21:29

厂商回复：

漏洞评价：

2012-05-30 21:30 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

我勒个去，这个也算啊？
2012-05-30 21:32 | CzBiX ( 路人 | Rank:8 漏洞数:2 | CzBiX)

骗账号来的
2012-05-30 21:49 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@CzBiX 的确是个问题吧，既然要求密码不一样，为什么允许访问相同的数据呢？
2012-05-30 21:56 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

这个也算？那QQ，拍拍，财付通，也是共用QQ帐号登录，也算一个？
2012-05-30 22:35 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

支付宝账号也有手机格式啊...这个要是算漏洞的话.那网易新浪那些账号通用的不都算漏洞了....
2012-05-30 22:57 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

搞清楚，淘宝+支付宝是两套体系吧？
2012-05-30 23:15 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

@xsser 这个不忽略，我名字倒过来写。103
2012-05-30 23:19 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

那 Discuz!论坛可以用QQ帐号直接登录，这个呢？
2012-05-31 04:39 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

按洞主说的话，那么只要关联的都有安全隐患了。
2012-05-31 08:08 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

额，dz的论坛绑定新浪微博，若得到管理的微博信息就能登录论坛....这怎么说那，方便的同时隐患也是很大。
2012-05-31 08:47 | 核攻击 ( 实习白帽子 | Rank:35 漏洞数:7 | 统治全球，奴役全人类！毁灭任何胆敢阻拦的...)

这个本来就是可以互相切换的，随意登录一个系统，就可以切换到另外一个系统。
2012-05-31 09:20 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@核攻击这两个系统安全级别一致么？
2012-06-04 22:38 | testcvc ( 路人 | Rank:5 漏洞数:1 | test)

这个如果也算的话，那可以再去发个拍拍和QQ的了……
2012-06-04 22:57 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

。。。这算吗？我擦，那QQ农场，QQ牧场，QQ餐厅之类的岂不是都是通用账户密码，这也就是算了。。。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-07707

漏洞标题：支付宝跟淘宝帐号通用，用支付宝帐号，可以查看淘宝的信息。。

相关厂商：淘宝网

漏洞作者：断七

提交时间：2012-05-30 21:28

修复时间：2012-06-04 21:29

公开时间：2012-06-04 21:29

漏洞类型：账户体系控制不严

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源断七@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-07707

漏洞标题：支付宝跟淘宝帐号通用，用支付宝帐号， 可以查看淘宝的信息。。

相关厂商：淘宝网

漏洞作者： 断七

提交时间：2012-05-30 21:28

修复时间：2012-06-04 21:29

公开时间：2012-06-04 21:29

漏洞类型：账户体系控制不严

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-07707"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 断七@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞标题：支付宝跟淘宝帐号通用，用支付宝帐号，可以查看淘宝的信息。。

漏洞作者：断七

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源断七@乌云