漏洞概要
关注数(24)
关注此漏洞
漏洞标题:墨迹天气APP非爆破任意用户登录(可看到其他用户隐私)
提交时间:2014-09-04 10:18
修复时间:2014-09-09 10:20
公开时间:2014-09-09 10:20
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-09-04: 细节已通知厂商并且等待厂商处理中
2014-09-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
墨迹天气APP非爆破任意用户登录
详细说明:
第一步:下载墨迹天气APP安装(废话)
第二步:用自己注册的小号登录
第三步:打开手机用小号登录
第四步:用SQLlite编辑器(赋予root权限),打开墨迹天气的表UserInfo,修改SnsID
第五步:重新打开墨迹天气,你就会发现,虽然昵称还是你的小号,但是其它都变了
粉丝,关注,邮箱,手机号,短消息,照片......
漏洞证明:
找了个各个信息都有的id...作为证明...
修复方案:
版权声明:转载请注明来源 看风者@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-09-09 10:20
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2014-09-04 10:25 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2014-09-04 10:47 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2014-09-04 11:20 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
-
2014-09-04 12:53 |
郭斯特 ( 普通白帽子 | Rank:181 漏洞数:69 | GhostWin)
-
2014-09-09 10:47 |
zj1244 ( 普通白帽子 | Rank:273 漏洞数:33 | 小葵)
-
2014-09-09 11:26 |
xfkxfk ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)
-
2014-09-09 12:44 |
白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)
-
2014-09-09 13:39 |
bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)
-
2014-09-09 14:59 |
进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)
-
2014-09-09 15:00 |
进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)
-
2014-09-09 15:04 |
Siro ( 实习白帽子 | Rank:66 漏洞数:11 | ) <Freedom /> (Fuck)
-
2014-09-09 16:45 |
bingfeng ( 路人 | Rank:10 漏洞数:3 | 万丈红尘三杯酒,千秋大业一壶茶。)
-
2014-09-10 14:29 |
瘦蛟舞 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)
完全没有身份认证呀,这种低级错误,居然还忽略了。。。竞争对手炒一下,用户分分钟流失呀