当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036303

漏洞标题:欧朋浏览器官方网易微博被劫持(社工)

相关厂商:欧朋浏览器

漏洞作者: Hxai11

提交时间:2013-09-06 19:13

修复时间:2013-10-21 19:13

公开时间:2013-10-21 19:13

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:9

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-06: 细节已通知厂商并且等待厂商处理中
2013-09-06: 厂商已经确认,细节仅向厂商公开
2013-09-16: 细节向核心白帽子及相关领域专家公开
2013-09-26: 细节向普通白帽子公开
2013-10-06: 细节向实习白帽子公开
2013-10-21: 细节向公众公开

简要描述:

大数据HACK

详细说明:

本来想用大数据的能力搞到欧朋论坛的admin,但是admin没搞到,反而弄到了欧朋的网易微博,从而可以发布欺骗或者危害的信息
怎么开始的?
首先我是查看了http://bbs.oupeng.com/home.php?mod=space&username=admin的信息,发现她的名字有点特别,于是,我就利用大数据的能力,获得了Csineneo用户的密码信息等
Csineneo@Gmail.com
loveyou
为了明确Csineneo用户loveyou的密码是正确的,我去gmail试了试,竟然不能够登陆,于是我展开联想,将Csineneo在搜索引擎搜索了个遍,测试了很多网站能够登陆,包括优酷等。
于是我在想Csineneo是否有可能有163的邮箱,于是,我去尝试,没想到,竟然成功了

ACG9N6D8I{V4LS[]76K95M0.jpg


能够成功登陆呢,立即查看了一下她的邮箱信息等,得知有另外一个邮箱为icqpin@163.com,通过大数据得知,icqpin@163.com的密码也是"loveyou!",只不过多了个感叹号,之后登陆,查看没有什么利用价值,对于我们渗透bbs没什么帮助,我回Csineneo@163.com上来,去到网易微博,发现这个号竟然是欧朋网易微博的官方号,危害可想而知,可以发布虚假谣言等。

G~C0UPC}NRVJ[CNG)K3L9GP.jpg


经过我后期的观察,发现Csineneo时欧朋的内部员工,而且貌似权限还很大,各个论坛都有她的账户身影,但是还是没有弄到bbs的权限,谁也说不清楚未来什么数据库会被爆出来,所以,还是注意账户安全好点。
已经得知的信息是

Csineneo@Gmail.com
loveyou
icqpin # loveyou! # icqpin@163.com
手机:15801515517


希望这位员工注意啦

漏洞证明:

G~C0UPC}NRVJ[CNG)K3L9GP.jpg

修复方案:

员工安全意识

版权声明:转载请注明来源 Hxai11@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-09-06 19:40

厂商回复:

非常感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-26 22:50 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    用速度换一点痛快

  2. 2013-10-07 07:25 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    用速度换一点痛快