漏洞概要
关注数(24)
关注此漏洞
漏洞标题:CNVD国家安全漏洞共享平台任意白帽子密码修改
提交时间:2013-04-12 00:24
修复时间:2013-05-27 00:25
公开时间:2013-05-27 00:25
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2013-04-12: 细节已通知厂商并且等待厂商处理中
2013-04-12: 厂商已经确认,细节仅向厂商公开
2013-04-22: 细节向核心白帽子及相关领域专家公开
2013-05-02: 细节向普通白帽子公开
2013-05-12: 细节向实习白帽子公开
2013-05-27: 细节向公众公开
简要描述:
CNVD国家安全漏洞共享平台任意白帽子密码修改...之前提交的那个有点写错了...Thx
详细说明:
只需要知道邮箱和ID即可...
http://www.cnvd.org.cn/user/resetPwd/yyyy?pwdResetId=4&email=xxxxxxxxxxxxxx
yyyy是用户ID,这个可以查..后面的xxxxxxxx是邮箱的MD5,而唯一的变量则是pwdResetId,但是经过测试,这个是个位数...然后..就没有然后了....
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2013-04-12 17:39
厂商回复:
CNVD确认所述情况,确实是开发人员编码和安全测试流程中的疏漏,已经通过强加密算法及强随机因子进行控制。
rank 11
最新状态:
暂无
漏洞评价:
评论
-
2013-04-12 00:18 |
noah ( 普通白帽子 | Rank:384 漏洞数:40 )
-
2013-04-12 00:25 |
Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)
-
2013-04-12 00:33 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-04-12 00:34 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
@xsser 话说,发了个证书.. 所以跑去注册看看...然后...=.=
-
2013-04-12 00:34 |
xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)
-
2013-04-12 00:36 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
@xsser 0.0 早些安睡...得这么理解...
-
@Drizzle.Risk 感谢洞主,我们正在进行修复
-
2013-04-12 00:49 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
@cncert国家互联网应急中心 速度很快啊...汗 大半夜的..
-
2013-04-12 01:01 |
斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:40 | 我在这头,你在那头~)
-
2013-04-12 02:52 |
乐乐、 ( 普通白帽子 | Rank:853 漏洞数:132 )
-
2013-04-12 07:59 |
etcat ( 普通白帽子 | Rank:149 漏洞数:22 | 0101010101001010101010101010100101010101...)
-
2013-04-12 08:52 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:89 | 一名普通的phper开发者,关注web安全。)
-
2013-04-12 09:20 |
褪色的黑 ( 实习白帽子 | Rank:68 漏洞数:20 | 啄木鸟。。。。。。。。。。)
-
2013-04-12 09:50 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:141 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
-
2013-04-12 10:31 |
shine ( 普通白帽子 | Rank:831 漏洞数:76 | coder)
@cncert国家互联网应急中心 对于这些黑客来讲,“妹子”的称呼已经不局限于性别: 女!
-
2013-04-12 11:53 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
@cncert国家互联网应急中心 昨个有个妹子加我.. 自称CNVD,性别.女.. =.=
-
2013-04-12 18:00 |
yhoojj ( 普通白帽子 | Rank:110 漏洞数:14 | BurNing)
@Drizzle.Risk me too!什么情况
-
2013-04-12 20:31 |
deeRix ( 路人 | Rank:11 漏洞数:2 )
-
2013-04-12 20:52 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
-
2013-04-12 20:53 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
-
2013-04-12 23:15 |
Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
-
2013-04-23 13:46 |
possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)
-
2013-05-12 22:42 |
流星warden ( 实习白帽子 | Rank:54 漏洞数:5 | The quieter you become,the more you are ...)
@Drizzle.Risk 是不是187135492这个?也加的我的
-
2013-05-13 06:16 |
廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)
目测好热闹啊,难道注册concert会有妹纸加?@cncert国家互联网应急中心
-
2013-05-13 09:23 |
乐乐、 ( 普通白帽子 | Rank:853 漏洞数:132 )
@cncert国家互联网应急中心 过几天去cncert求大牛罩`
-
2013-05-13 13:48 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:141 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
2013-05-27 09:16 |
erevus ( 普通白帽子 | Rank:177 漏洞数:30 | Hacked by @ringzero 我錯了)
-
2013-05-27 12:58 |
小乐天 ( 实习白帽子 | Rank:64 漏洞数:12 | From KnownSec)
-
2013-05-29 01:52 |
Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)
@小乐天 Token太简单,导致可以直接构造还原ResetPass的认证URL,谁的账户都一样 :-)
-
2013-05-30 16:55 |
小乐天 ( 实习白帽子 | Rank:64 漏洞数:12 | From KnownSec)
