漏洞概要
关注数(24)
关注此漏洞
漏洞标题:团乐购设计不当可可爆破他人账号
提交时间:2013-09-11 13:45
修复时间:2013-09-16 13:46
公开时间:2013-09-16 13:46
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-09-11: 细节已通知厂商并且等待厂商处理中
2013-09-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
团乐购设计不当可任意登陆他人账号,泄露用户个人隐私,姓名,收货地址,联系电话等等
详细说明:
问题出现在登陆页面,登陆时无验证码无错误次数限制
导致可以对他人账号进行暴力破解
登陆页面:
随便输入用户密码 admin 123456 ,也可以以其他密码进行破解,对某个账户进行破解,撞库等等....
登陆时抓包
以密码固定不变,对用户名参数email进行破解
根据返回包的长度很容易判断
zhou:123456
登陆截个图
泄露用户个人隐私,姓名,收货地址,联系电话等等。。。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-09-16 13:46
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2013-09-11 16:16 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-09-11 16:17 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-09-11 16:18 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@niliu 我的都通过鸟。。。 你这个和我的一样?
-
2013-09-11 16:35 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-09-11 16:55 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-09-11 17:21 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-09-11 17:27 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-09-19 20:40 |
忆闪而过 ( 路人 | Rank:26 漏洞数:6 | 寂寞在唱歌)
你们悲剧,都被无视,这厂商很坑爹,说发月饼,拿了地址,中秋过了没见月饼
-
2013-09-19 21:12 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)