漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪某分站设计缺陷导致任意用户密码重置漏洞
相关厂商:新浪
漏洞作者: 小龙
提交时间:2013-08-07 11:43
修复时间:2013-09-21 11:43
公开时间:2013-09-21 11:43
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-08-07: 细节已通知厂商并且等待厂商处理中
2013-08-07: 厂商已经确认,细节仅向厂商公开
2013-08-17: 细节向核心白帽子及相关领域专家公开
2013-08-27: 细节向普通白帽子公开
2013-09-06: 细节向实习白帽子公开
2013-09-21: 细节向公众公开
简要描述:
新浪某分站设计缺陷导致任意用户密码重置漏洞
详细说明:
站点:http://j.esf.sina.com.cn/login/retrievepsd 我们点找回密码 ,我就拿自己的测试好了。 验证码是:514615 我就假装不知道啦,admin的密码一般我相信挂服务器玩个CF回来就可以看到结果了,他里面排除了1和2的几率出现是30% 一般3到9的字典就行了, 杠杠的。
漏洞证明:
修复方案:
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2013-08-07 14:10
厂商回复:
感谢关注新浪安全,我们正在修复。
最新状态:
暂无
漏洞评价:
评论
-
2013-08-07 11:59 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2013-08-07 12:04 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
-
2013-08-07 12:28 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-08-07 12:30 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2013-08-07 12:36 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
-
2013-08-07 12:39 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-08-07 12:52 |
1ee ( 普通白帽子 | Rank:105 漏洞数:14 | 看书中....)
-
2013-08-07 13:15 |
xfkxfk ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)
-
2013-08-07 13:27 |
nauscript ( 普通白帽子 | Rank:291 漏洞数:57 | 我淫荡啊我淫荡)
-
2013-08-07 13:29 |
3rr0r ( 路人 | Rank:0 漏洞数:2 | 努力学习!)
-
2013-08-07 13:31 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-08-07 13:31 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-08-07 13:34 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2013-08-07 14:17 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-08-07 17:22 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
-
2013-08-07 17:23 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-08-07 20:16 |
ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)
-
2013-08-07 20:44 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
