当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067536

漏洞标题:广州多玩在某群泄露账号密码

相关厂商:广州多玩

漏洞作者: 小胖胖要减肥

提交时间:2014-07-05 18:46

修复时间:2014-07-07 12:01

公开时间:2014-07-07 12:01

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-05: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

广州多玩在某群泄露账号密码,便尝试扫号

详细说明:

群里的图,都是能登陆的,明显扫号软件扫出来的,一般有识别验证码,ip代理等功能,你们可以去收个

111.jpg


然后便找接口,主站的

POST /login.do HTTP/1.1
Host: udb.duowan.com
Connection: close
Content-Length: 71
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: https://udb.duowan.com
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: https://udb.duowan.com/login.do
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: hiido_ui=0.45863921800628304; UDBSESSIONID=12d77c7607eea7ab47209cbd22c8572b3a8d5f00; UDBRJESSESSIONID=aaa8KQGRjpOKe8RCX1fCu; Hm_lvt_d3da82191e5540a9e42feaba8dcfc9ac=1404552374; Hm_lpvt_d3da82191e5540a9e42feaba8dcfc9ac=1404552374; username2=yyuu98198; yyuid=588808787; securityCode=123123
url=%2Fwelcome.do&username=lanyu913&password=zwqtdk860813&securityCode=

漏洞证明:

尝试了一些,可以扫,而且直接会set-cookies证明能够登录的

333.jpg


123.jpg


222.jpg

修复方案:

这个是统一登陆接口,很关键,具体的话多做策略吧,不单单是ip等的策略,也不难的

版权声明:转载请注明来源 小胖胖要减肥@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-07-07 12:01

厂商回复:

感谢对于欢聚时代安全工作的支持,这些账号(密码)均为疑似暴力注册YY账号

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-05 19:02 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    胖胖无处不在,扫号瞬间完成。

  2. 2014-07-05 20:37 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @梧桐雨 主要群里都发图了,帮帮别人不好么

  3. 2014-07-05 23:17 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    广州多玩在某群泄露账号密码

  4. 2014-07-07 09:09 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    胖胖无处不在,扫号瞬间完成。

  5. 2014-07-07 13:46 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @梧桐雨 @xsjswt 呵呵 那我扫的呢,总不能是我暴力注册的吧

  6. 2014-07-07 14:30 | Mr.Zhang ( 路人 | Rank:8 漏洞数:2 | 乌云上的段子手)

    无影响厂商忽略

  7. 2014-07-07 14:32 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

    话说还有贴吧扫号

  8. 2014-07-07 15:26 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @小胖胖要减肥 只要能扫出来,都认定为暴力注册

  9. 2014-07-07 16:19 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @小胖胖要减肥 你标题写的不对,你应该写无限制撞库,你这样写肯定忽略啊。

  10. 2014-08-01 13:24 | 我疯癫 ( 路人 | Rank:2 漏洞数:2 | i)

    。。。。。这也行

  11. 2015-06-30 09:42 | 柯腾 ( 实习白帽子 | Rank:88 漏洞数:19 | 飞天科技-柯腾)

    论标题的重要性

  12. 2015-07-10 18:14 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    其实胖胖是来发福利的

  13. 2015-07-10 22:28 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    测试结果是,修好了。转到aq.yy.com,加了验证码