当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025191

漏洞标题:易迅安卓客户端帐号认证信息泄漏

相关厂商:易迅网

漏洞作者: Titanium

提交时间:2013-06-06 14:07

修复时间:2013-07-21 14:07

公开时间:2013-07-21 14:07

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-07-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

易迅手机APP 账户安全问题

详细说明:

首先下载易迅安卓APP 版本V1.1.3

yixun.jpg


然后正常登录,用QQ帐号登录。

(1).jpg


此处不勾,虽然在QQ方式登录界面并无此项,但为排除其他因素此处还是不勾了。
正常登录后即进入个人用户界面,包括用户的订单什么的。
好 正片开始 此时点击注销

(2).jpg


按我们用户的理解就是注销后不输入帐号密码是不能再登录的。
好 接下来会退到登录界面,或者你也可以退出软件再进入,其实测试出结果是一样的。
在QQ方式登录界面填入之前的QQ号码,密码随意填 但不能不填 否则会显示“密码不能为空”

(3).jpg


然后点登录 你会发现你进入了用户个人界面

(5).jpg


也就是说,这个注销机制没有作用。用户登录过然后注销过的易迅APP 其实保持了用户的登录状态,而且保留的这么明显,还不需要在手机里找什么加密过的密码什么的(因为直接就登进去了嘛)。
用平板和安卓手机都测试了下,结果都是无需密码即可登录,呵呵 当然前提是用户事先得登录一次,危害有限啊。
废话说这么多,其实也不是什么大问题,解决起来不难,只是希望易迅能够加强用户帐号的安全,这种“小事”还是不再有的好,您说呢?

漏洞证明:

yixun.jpg


(1).jpg


(2).jpg


(3).jpg


(5).jpg

修复方案:

这个交给专业人员处理吧

版权声明:转载请注明来源 Titanium@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论