当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051300

漏洞标题:彩票宝密码找回设计缺陷可根据用户名修改任意用户密码

相关厂商:www.cpbao.com

漏洞作者: フ天天好心情

提交时间:2014-02-18 17:44

修复时间:2014-02-28 17:44

公开时间:2014-02-28 17:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-18: 细节已通知厂商并且等待厂商处理中
2014-02-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

危害非常大,可进行各种操作,修改用户资料,甚至提取用户彩金

详细说明:

找回密码处漏洞,验证体系不健全,懒得说,直接看图吧

漏洞证明:

QQ截图20140218145715.png

QQ截图20140218145740.png

QQ截图20140218145834.png

QQ截图20140218145853.png

QQ截图20140218145927.png

QQ截图20140218145938.png

修复方案:

没的说。。后台判断。。顺便求个乌云邀请码。。

版权声明:转载请注明来源 フ天天好心情@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-02-28 17:44

厂商回复:

最新状态:

2014-02-28:已经修复

漏洞评价:

评论

  1. 2014-02-18 18:56 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    很逗的漏洞 谁写的拉出去枪毙5分钟

  2. 2014-02-18 18:58 | 沧浪浪拔出保健 ( 普通白帽子 | Rank:184 漏洞数:18 | @互联网的那点事)

    @Finger 哥你真逗 我要向你学习

  3. 2014-02-28 23:28 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    这程序员肯定跟老板有仇~~~~

  4. 2014-03-01 10:02 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    忽略了又修复了?

  5. 2014-03-02 19:42 | フ天天好心情 ( 路人 | Rank:1 漏洞数:2 | 啦啦啦~好高兴)

    遇到这厂商看来以后还是不发出来了。。。

  6. 2014-03-06 15:03 | Mr.醉心 ( 路人 | Rank:2 漏洞数:2 | 爱生活,爱音乐,爱美女,更爱波多野结衣)

    拉出去枪毙5分钟

  7. 2014-03-06 15:18 | Yinkan ( 路人 | Rank:2 漏洞数:1 | 码农)

    危害等级:无影响厂商忽略 着一定是彩蛋!!!

  8. 2014-03-07 00:03 | Exr ( 路人 | Rank:0 漏洞数:1 )

    又是无影响厂商忽略,然后默默修复…

  9. 2014-03-07 20:16 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    这个程序员噢。。。脑子有坑

  10. 2014-03-08 09:43 | 耐小心 ( 路人 | Rank:12 漏洞数:5 | 噗 我是新手 新手求罩)

    什么叫无影响,已经修复。 这明摆着就是个坑