当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065985

漏洞标题:金山快盘无限制撞库(个人隐私信息侧漏)

相关厂商:金山软件集团

漏洞作者: 郭斯特

提交时间:2014-06-23 22:55

修复时间:2014-08-07 22:56

公开时间:2014-08-07 22:56

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-23: 细节已通知厂商并且等待厂商处理中
2014-06-24: 厂商已经确认,细节仅向厂商公开
2014-07-04: 细节向核心白帽子及相关领域专家公开
2014-07-14: 细节向普通白帽子公开
2014-07-24: 细节向实习白帽子公开
2014-08-07: 细节向公众公开

简要描述:

test~

详细说明:

之前在
http://www.kuaipan.cn/ 这里登录可以直接抓包的 但是今天发现username password 加密了。。
继续找到
http://www.kuaipan.cn/account_login.htm 这个接口没有做任何验证
果断撞库之~

002.png

23213427355791c72e09890e36a256efcd54e7b6.png.gif

漏洞证明:

发票 合同 私人照片 短信记录 通话记录 联系人 一览无余...这里就不多上图了

test1.png


004.png

003.png


测试通过的部分人账号密码
k***@163.com rabbit
x***@126.com xuqingyu
z***e1@163.com mjjzzy
w***h@21cn.com wsh168
z***b2008@yahoo.com.cn 1qazxsw2
hu***h@21cn.com 800615
bi***re@21cn.com dxrdxr
wi***o@21cn.com 337115vs
s***r@21cn.com 720801
ja***l@21cn.com xuejunxj
k***n@21cn.com jiqjiq
q***u@sina.com tan1978
y***li@sina.com yhaoli78
n***@21cn.com 686640
yy***et@163.com qazwsx
g***e@sz.net.cn badseed
t***z@163.com ts0315
t***h@sohu.com 19831210
m***uli@gmail.com 19811103
wu***922@sohu.com wz760722
d***1026@163.com 32226
da***t@163.com 19800717
ch***g957@163.com 2885292
cq***5@sohu.com cqg1111111
lo***feng@163.com fendouceo
84***8@163.com navy1981690
94***81@qq.com zw8112151
p***ood@qq.com 11111111
fr***hb@gmail.com 3424253131
m***1@126.com 959001112
lh***2@126.com shing297064862
Mi***an@163.com 13025425937
ru***1600@163.com 204631fsl
zh***23@126.com 87154689
zh***izyf@126.com 759919888abcd
yy***ng@sina.com gao1989722
40***3473@qq.com 3281250
yin***ng@yahoo.com.cn 1033cygz
tb***k@163.com 19851031
gb***@163.com 1363916038
4***77460@qq.com ccrr19880827
i***45@126.com 82615881
xc***719@163.com 820719123
zh***k@163.com jdobz7448
lz***dy@163.com liuzaizhe
lx***30@163.com lx19891029
su***g@gmail.com hy1976109
g***20@163.com gyt19890101
t***13@126.com tingyu13
zi***007@126.com zihuanmayan2007
yu***10@163.com aaa3812751
87***37@qq.com lizhen19910717
f***1@163.com 119vs911
zh***0823@126.com 946926yy
12***8@163.com zhoujinshan
a***@163.com 19810401
c***5@163.com chenzhan
BA***20@163.COM BW760420
52***9@qq.com kaaiqkwmmo
nz***@163.com 19851114
l***q@yeah.net 429131222
y***p@126.com 304154554
a***@163.com joy2251131
be***11@sohu.com iloveyou
3***26@qq.com 6967446sky
r***88@hotmail.com cheng1119
p***00@163.com 22882288
l***0@163.com dangerous
7***7913@qq.com limuyang
a***9@163.com 6060606
p***a@126.com 85798579
l***@qq.com 19880818
hu***ng@163.com 53286566
s***86@hotmail.com 19861128
***g9898@126.com 55555com
z***@126.com znyfhljs
w***x5@126.com WJ19860713
a***k@163.com passwordkm
7***52@qq.com 4408821988
d***@126.com dxlzj0513
l***n@hotmail.com fox165910
t***n@126.com abcd1234
s***2@sina.com seayellow
j***7@sina.com 30567392y3
yy***19@hotmail.com yyf466893
c***g12345@126.com cs5169801
h***286@163.com 1033286hao
5***64@qq.com 73366227
su***ong@126.com 784170183
a***ip@sina.com 422828598
c***g@163.com 3310954.hf
s***y@sohu.com jack2003
2***154@qq.com wyqyxf1988
1***67@qq.com becky362329
17***3@qq.com qiaolin911
go***y@163.com 19841210
z***ng@126.com zqs6781376
h***w@126.com up369com
7***98@qq.com azrael2276622
3***35@163.com 32783784
***ta@hotmail.com timikeita
HX***5@163.COM 19740705
ni***ang@sohu.com wonaikuang
3***709@qq.com 83030545
1***5@qq.com chuanqicn
3***235@qq.com wdqq19870618
w***ai@126.com 32201937
c***sl@163.com 19840330
6***90@qq.com Jay261012
c***in@qq.com cheng911
ve***ezone@126.com 1598753624
52***16@qq.com xiangxiujia
d***ing_betty@yeah.net dsl900119
77***78@QQ.com qq000000
w***93@126.com wht7224396
ni***f746@yahoo.com.cn 62200889
7***5@qq.com wxy3844989
c***684@163.com 86202928
da***an@163.com 32164499
m***@qq.com 669805604
s***po@163.com juventus
ha***uggle2009@163.com lww20050108
42***72@qq.com poell555
59***51@qq.com kele0628
1***73@qq.com zzh65888
l***g@mail.ustc.edu.cn zhongyi1985
c***jun@163.com 66363940
z***n@yeah.net senvenzhua
di***i@dingli.net.ru DINGLINET9495
y***ng@gmail.com liliangS
c***yge@gmail.com 19881018
lp***3@qq.com 369258174
***feng@163.com bixiang19@
ac***in@163.com hexiufang
c***ha@yahoo.cn woaimama
ji***34@163.com jingjing
v***o@163.com 2007iloveu
du***cp@163.com dusonghao
wm***o@126.com wm100086
r***19@126.com 19880519rj
zx***14@126.com 13564143501
y***2@sohu.com 5103211982
***0@gmail.com 19831210
1***8@qq.com 19880807
y***cs@163.com 13760499615
W6***3@163.COM gafjgafj
b***an@163.com 06392692ok
20***78@qq.com zwwczx060817
ji***ao@163.com tx015155
8***583@qq.com xwf147258

修复方案:

为了你我他 登录处限制下~~
求不忽略 求高rank~

版权声明:转载请注明来源 郭斯特@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2014-06-24 09:46

厂商回复:

非常感谢,我们将尽快跟进确认与修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-24 10:02 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    楼主 开门 送水表

  2. 2014-07-24 13:49 | diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)

    那一笑,我乐了

  3. 2014-08-08 03:18 | 汪哥 ( 路人 | Rank:28 漏洞数:6 )

    社工之

  4. 2014-08-08 10:05 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    贴图怎么不找个美女呢?

  5. 2014-08-20 22:40 | 瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)

    洞主你发的第一个帐号竟然是我的我会乱说?