当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019767

漏洞标题:爱丽网任意修改妹子密码漏洞(非暴力)

相关厂商:aili.com

漏洞作者: 酱油甲

提交时间:2013-03-08 18:21

修复时间:2013-04-22 18:22

公开时间:2013-04-22 18:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-08: 细节已通知厂商并且等待厂商处理中
2013-03-08: 厂商已经确认,细节仅向厂商公开
2013-03-18: 细节向核心白帽子及相关领域专家公开
2013-03-28: 细节向普通白帽子公开
2013-04-07: 细节向实习白帽子公开
2013-04-22: 细节向公众公开

简要描述:

爱丽网可以任意修改妹子密码~~好多妹子信息啊~~请问真实度如何?

详细说明:

1.首先让我们来到http://show.aili.com/寻找几个妹子帐号……厂商记得把她改回去哦……邮箱联系她嘛~~就选doriswoods吧

2.jpg


确实有这个帐号

3.jpg


2.来到自己的后台,修改资料http://plus.aili.com/member/

6.jpg


3.抓个包,修改账户为doriswoods

7.jpg


提示操作成功

8.jpg


4.登陆下~~就进来了,不过好像两边账号不是相等的,我又看了下有些show的帐号在爱丽网没有……

9.jpg


5.在我们来看一下admin.....

10.jpg


漏洞证明:

10.jpg


修复方案:

你们懂的~~还是想问下妹子信息真实度如何?

版权声明:转载请注明来源 酱油甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-03-08 23:45

厂商回复:

努力加班修复

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-09 09:37 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @爱丽网 爱丽的同学,为什么我没收到礼物-_-

  2. 2013-03-09 09:38 | 溪水流淌 ( 路人 | Rank:9 漏洞数:2 | 如果一切都任我欲为,我会有迷失在这自由深...)

    我是来看妹纸的。

  3. 2013-03-14 17:45 | 爱丽网(乌云厂商)

    @se55i0n 一定会收到的,可恨的飞康达快递。

  4. 2013-03-14 18:41 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @爱丽网 我今天收到礼物了,咱这张老脸可以滋润下了!

  5. 2013-03-16 11:56 | 点点 ( 普通白帽子 | Rank:214 漏洞数:38 | 准备申请سمَـَّوُوُحخ ̷̴̐...)

    @爱丽网 说真的 我已经把你所有网站看了一遍了 注入漏洞 貌似有一个 只是有过滤 还没有确定 其他的xss 貌似还没测试

  6. 2013-03-29 23:13 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    次奥,我居然手贱点了支付乌云币!!!