当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024180

漏洞标题:酒仙网可任意修改用户手机号码

相关厂商:酒仙网

漏洞作者: 连长

提交时间:2013-05-21 09:30

修复时间:2013-08-19 09:31

公开时间:2013-08-19 09:31

漏洞类型:成功的入侵事件

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

过滤不严谨导致可以任意更换用户手机号码

详细说明:

任意注册一个新用户,点击绑定手机 在打开一个新页面 这里称为页面2 退出自己新注册的帐号登录其他已经绑定手机的帐号,在第一个页面点击获取验证码 在输入收到的手机验证码就能把第二个已经绑定的手机号码更换。

漏洞证明:

自己注册的新帐号登录点击绑定手机

1.jpg


第二个页面退出自己注册的帐号 登录另外一个帐号

3.jpg


在第一个页面提交验证码 换绑成功

4.jpg

修复方案:

逻辑过滤不严谨

版权声明:转载请注明来源 连长@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2013-05-21 15:33 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    说起酒仙网我就想起了某个屌丝,@邪恶魔法师 你还好么,亲?