当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062212

漏洞标题:虚拟货币账户大数据OKCoin可以扫出大量帐号

相关厂商:OKCoin

漏洞作者: 小胖胖要减肥

提交时间:2014-05-25 10:15

修复时间:2014-06-28 12:21

公开时间:2014-06-28 12:21

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-25: 细节已通知厂商并且等待厂商处理中
2014-05-25: 厂商已经确认,细节仅向厂商公开
2014-06-04: 细节向核心白帽子及相关领域专家公开
2014-06-14: 细节向普通白帽子公开
2014-06-24: 细节向实习白帽子公开
2014-06-28: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

OKCoin 中国最大的比特币交易平台 账户安全很重要啊,不然出了事大家都跑了

详细说明:

登陆有账户尝试次数,但是扫号无验证码,也没有相关防护策略

POST /user/login/index.do?random=588 loginName=hcl340***@163%2ecom&password=86***


已经有了邮箱和密码,基本都能进邮箱,手机绑定找客服想办法修改,是不是都能提现了呢
安全防护各个层级都很重要

漏洞证明:

先看部分帐号,扫到多少不说了,几千几万肯定只是小数目

1.jpg


2.jpg


好多ltc,不玩了

777.jpg


修复方案:

增加验证码,不单单限制单个账户登陆错误次数

版权声明:转载请注明来源 小胖胖要减肥@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-05-25 14:18

厂商回复:

谢谢,马上修复

最新状态:

2014-05-25:方便留个联系方式吗

2014-06-28:已增加扫描限制


漏洞评价:

评论

  1. 2014-05-25 10:17 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    能给我转个几百个比特币吗 感谢

  2. 2014-05-25 10:56 | ddy ( 实习白帽子 | Rank:44 漏洞数:16 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    能给我转个几个比特币吗 感谢

  3. 2014-05-25 10:59 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    支付密码,等短信密码怎么搞?

  4. 2014-05-25 11:12 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)

    牛逼!!

  5. 2014-05-25 17:42 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    已私信

  6. 2014-05-26 10:44 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @小胖胖要减肥 球转我几个bitc,穷

  7. 2014-05-26 10:49 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsjswt 你还穷 那我算啥

  8. 2014-06-28 13:02 | by阿明 ( 路人 | Rank:25 漏洞数:9 | 孤独与寂寞是我的必修课)

    大牛!

  9. 2014-06-28 14:09 | 黑马 ( 路人 | Rank:0 漏洞数:2 | 不要问我从哪里来,我是黑暗中的光明者!)

    2014-05-25:方便留个联系方式吗 (是要抓你,你快跑路吧)2014-06-28:已增加扫描限制

  10. 2014-07-03 18:13 | Fire ant ( 实习白帽子 | Rank:73 漏洞数:26 | 他们回来了................)

    能给我转几个比特币吗

  11. 2014-07-07 11:50 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    能给我转个几个比特币吗 感谢