漏洞概要
关注数(24)
关注此漏洞
漏洞标题:陌陌未授权操作可以获取对方妹子手机号
提交时间:2014-11-06 12:09
修复时间:2015-02-04 12:10
公开时间:2015-02-04 12:10
漏洞类型:设计错误/逻辑缺陷
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-11-06: 细节已通知厂商并且等待厂商处理中
2014-11-06: 厂商已经确认,细节仅向厂商公开
2014-11-09: 细节向第三方安全合作伙伴开放
2014-12-31: 细节向核心白帽子及相关领域专家公开
2015-01-10: 细节向普通白帽子公开
2015-01-20: 细节向实习白帽子公开
2015-02-04: 细节向公众公开
简要描述:
RT
详细说明:
首先 之前的漏洞未通过审核....说是用户看得到。。
但是我感觉还是有点利用的地方,比如将poc 的地址改成你自己的手机号,那么想获取哪个妹子的手机号,对方打开poc地址后给自己手机号打电话。。
那么就知道了对方的手机号了........
例如
poc地址:http://test.m4sk.net/phone.html
不知道这样能否通过
漏洞证明:
修复方案:
版权声明:转载请注明来源 M4sk@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2014-11-06 12:17
厂商回复:
1.这个手机号不一定是用户绑定陌陌的手机号,只是对方登陆的设备的手机号。2.另外此问题不能造成大量攻击,攻击需要交互,因此给低危害评分。
最新状态:
暂无
漏洞评价:
评论
-
2014-11-06 12:09 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2014-11-06 12:59 |
龍 、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好 我就是晴天)
-
2014-11-06 13:09 |
无名指7年 ( 路人 | Rank:15 漏洞数:4 | 努力学习奋斗,争取成为一名合格的白帽子。)
-
2014-11-06 13:09 |
大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )
-
2014-11-06 13:10 |
Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)
-
2014-11-06 13:19 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2014-11-06 13:56 |
SuperRookie ( 实习白帽子 | Rank:39 漏洞数:7 | 求收编,本人会注入,会上传,会Xss,会破...)
-
2014-11-06 14:58 |
风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)
-
2014-11-06 16:37 |
付弘雪 ( 路人 | Rank:16 漏洞数:10 | 希望和业内各位大牛多多交流)
-
2014-11-06 22:59 |
飞天鼠 ( 路人 | Rank:0 漏洞数:1 | 努力学习)
-
2014-11-07 10:25 |
沈奇 ( 路人 | Rank:11 漏洞数:9 | 不忘初心,方得始终,想想当初来乌云是为了...)
完了,M4sk寂寞难耐,已经开始手机下载陌陌玩起来了~~~
-
2014-11-07 11:33 |
SuperRookie ( 实习白帽子 | Rank:39 漏洞数:7 | 求收编,本人会注入,会上传,会Xss,会破...)
-
2014-11-09 16:11 |
糟辣小白菜 ( 路人 | Rank:28 漏洞数:3 | 初学者)
-
2014-11-10 10:30 |
deepweb ( 实习白帽子 | Rank:67 漏洞数:9 | 2)
保守的说95%以上的人是用自己手机登录自己的陌陌帐号 厂家给1分 真霸气
-
2014-11-10 11:57 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2014-11-12 08:19 |
萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云 多美女 花粉 顾名思义 就是校花班花...)
-
@deepweb 不知道你自己实际测试过没有。确实有可能是用自己手机登陆,但是这个漏洞不仅仅是有这个问题,1,,需要交互,2,安卓上是不行的,3,我们有一个中间跳转页面,会有一些提示,虽然不像微信那样弹窗提示。所以我认为1分是没什么问题的。
-
2014-11-12 19:40 |
deepweb ( 实习白帽子 | Rank:67 漏洞数:9 | 2)
@北京陌陌科技有限公司 本人小菜 不谈技术 单说Rank 见过上千万信息泄露厂商忽略的 没见过给1分的厂商
-
@deepweb 给多少分不是看别人给多少就给多少,而是看漏洞的影响范围,攻击难度等因素。
-
2014-11-14 10:07 |
deepweb ( 实习白帽子 | Rank:67 漏洞数:9 | 2)
@北京陌陌科技有限公司 给多少RANK是你们厂商的权利 大家心中自然有一杆秤
-
2014-11-29 11:19 |
娇娘 ( 路人 | Rank:15 漏洞数:5 | 宝贝女儿叫斯诺。)
-
2014-11-29 13:32 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2015-02-04 12:46 |
limbo ( 普通白帽子 | Rank:434 漏洞数:95 | 先练练注入~)
@xsser http://www.wooyun.org/bugs/wooyun-2015-094612/trace/473e4d138f0a8172db9824e0249eefa4漏洞求审
-
2015-02-04 12:46 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
拨出去到呼叫还是有一点时间的 可以取消 而且现在手机都会提示一个 是否呼叫...所以利用难度很高且条件苛刻
-
2015-02-04 12:48 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2015-02-04 12:56 |
子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
@M4sk 和手机有关系吧 不同手机的安全设置可能不一样
-
2015-02-04 13:26 |
胡来大师 ( 实习白帽子 | Rank:67 漏洞数:10 | 大牛,泄了。。。)
-
2015-02-04 13:40 |
char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)
-
2015-02-04 15:33 |
Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)
-
2015-02-04 18:31 |
qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)
-
2015-02-04 21:25 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
@qhwlpg 修复后应该有吧 但是之前是没有的 - -
