漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-021870
漏洞标题:58某官方管理邮箱被控制
相关厂商:58同城
漏洞作者: 小威
提交时间:2013-04-15 09:59
修复时间:2013-05-30 10:00
公开时间:2013-05-30 10:00
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-04-15: 细节已通知厂商并且等待厂商处理中
2013-04-15: 厂商已经确认,细节仅向厂商公开
2013-04-25: 细节向核心白帽子及相关领域专家公开
2013-05-05: 细节向普通白帽子公开
2013-05-15: 细节向实习白帽子公开
2013-05-30: 细节向公众公开
简要描述:
撸了个管理邮箱,发现可利用的地方实在太多了!!!
详细说明:
看到58,就仿佛看到了每月8K的票子摆在自己眼前!
和上次撸搜房的过程一样
mail.58.com 是用的腾讯的企业邮箱,于是乎就随便拿几个帐号来测试,腾讯的安全做的真心不错,搜房的连续被撸两次,腾讯的估计够呛。
正题:问题在这个邮箱这里:58kefu@58.com 说是弱口令也好,说我运气好也好,密码应该大家都能猜到吧!
好了这里就讲讲问题严重性!
1)QQ绑定这邮箱,哈哈,能骗到99%的人,各种坑蒙拐骗,而且绑定后删除邮件内容,管理员不会有任何发现!!
2)客服邮箱里面的内容可想而知,各种房产证、身份证、企业证件一一俱全。用处想必很多!
......
---------------------------------------------------------------------------
以上内容仅为陈述,邮箱内所有邮件、文件均为做任何处理、改动~
漏洞证明:
修复方案:
个人安全意识一定得普集~~ 有礼物木?
版权声明:转载请注明来源 小威@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:4
确认时间:2013-04-15 13:28
厂商回复:
多谢报告漏洞,客服的邮箱,里面可能涉及到用户的投诉,泄露用户投诉的信息。
最新状态:
暂无
漏洞评价:
评论
-
怎么58的事还没结束。
( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)