当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082888

漏洞标题:优酷某后台逻辑问题导致内部员工信息部分泄漏(还可撞库)

相关厂商:优酷

漏洞作者: 子非海绵宝宝

提交时间:2014-11-11 16:52

修复时间:2014-12-26 16:54

公开时间:2014-12-26 16:54

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-11: 细节已通知厂商并且等待厂商处理中
2014-11-11: 厂商已经确认,细节仅向厂商公开
2014-11-21: 细节向核心白帽子及相关领域专家公开
2014-12-01: 细节向普通白帽子公开
2014-12-11: 细节向实习白帽子公开
2014-12-26: 细节向公众公开

简要描述:

RT

详细说明:

问题出在MCenter登录验证系统
通过员工的手机邮箱帐号来发送密码只手机或者邮箱
但是问题就来了
这个接口没有做验证,可以加进行撞库测试帐号并且可以在成功提交后得知帐号邮箱手机对应的员工名字手机部分信息和完整优酷邮箱

1.jpg


2.jpg

漏洞证明:

mask 区域
*****anghao@youku.co*****
*****hejie@youku.c*****
*****nglin@youku.com*****
*****9 jcheng@tudo*****
*****henchao@youku.c*****
*****idong@youku.co*****
*****iling@youku.co*****
*****ngwei@xian.youku.*****
***** haofeng@youku*****
*****angyang85@youku*****
*****eng@youku.com y*****
*****zengsiyu@youku.c*****
*****ngyue01@xian.you*****
*****e@youku.com sham*****
*****nghui@xian.youku*****
*****ian@youku.com tia*****
*****uchao@xian.youku*****
*****ing01@xian.youku.*****
*****weiwang@tudou.*****
*****ngjun@youku.com *****
*****xian.youku.com de*****
*****ngbin@youku.com*****
*****ing@xian.youku.com*****
*****i@xian.youku.com x*****
*****aohui@tudou.com*****
*****n@xian.youku.com w*****
*****ang@tudou.com *****
*****anglikun@youku.co*****
*****kun@xian.youku.*****
*****lin@youku.com wa*****
*****gchen@tudou.com *****
*****ong@youku.com l*****
*****yan@youku.com s*****
*****ngjie@youku.com *****
*****o@tudou.com lanf*****
*****e@youku.com lov*****
*****gbo@tudou.com c*****
*****ngrui@xian.youku.*****
*****usijia@youku.com*****
*****angchen@tudou.c*****
*****fan@youku.com E*****
*****hangyy@tudou.co*****
*****youku.com love*****
*****ng.wu@youku.com*****
*****jie@youku.com *****
*****wei@youku.com c*****
*****i@youku.com se*****
*****n89@youku.com ab*****
*****e@youku.com das*****
*****unlei@xian.youk*****
*****ujing01@xian.you*****
*****gxu@youku.com zh*****
*****o@youku.com lcja*****
*****ang@youku.com m*****
*****wangwen@xian.yo*****
*****ngjin@youku.com*****
*****ngqiang@xian.youk*****
*****n@xian.youku.com*****
*****gyu@youku.com s*****
*****i@youku.com rich*****
*****u@youku.com hell*****
*****2096840602@qq.c*****
*****nghong53719@tom.co*****
*****gbo@youku.com b*****
*****ngqiang@xian.youk*****
*****ngjie@youku.com*****
*****ngyao@youku.com *****
*****.li@youku.com lm*****
*****ang@youku.com l*****
*****yan@youku.com r*****
*****min@xian.youku.com*****
*****g@xian.youku.com ma*****
*****hangyuwei@youku.co*****
*****ngxin@youku.com*****
*****jie@youku.com la*****
*****95201@qq.com li*****
*****lixiaoqi@youku.c*****
*****g@xian.youku.com m*****
*****e@youku.com dd*****
*****xin@youku.com xi*****
*****@xian.youku.com aa*****
*****i@xian.youku.com*****
*****eng@youku.com m*****
*****g@youku.com wozh*****
*****hangguoqiang@youku.*****
*****n1@xian.youku.com w*****
*****yue01@xian.youku.*****
*****ailian@youku.com ai*****
*****kai@youku.com l*****
*****jun@youku.com tm*****
*****iutao@youku.co*****
*****ntian@youku.com *****
*****angxian@youku.c*****
*****g@xian.youku.com *****
*****na@youku.com ma*****
*****mei@xian.youku.*****
*****jia@youku.com ci*****
*****jie@youku.com su*****
*****angli@youku.co*****
*****ang.ma@youku.co*****
*****hao@xian.youku.co*****
*****ujing@youku.co*****
*****i@youku.com y12*****
*****angyu@xian.youku*****
***** liulibin@youku*****
*****efei@youku.com h*****
*****@xian.youku.com gi*****
*****e@youku.com Re*****
*****95201@qq.com li*****
*****anghao@youku.co*****
*****ngzhe@youku.com *****
*****youku.com datouha*****
*****nliangliang@youku.*****
*****glu@xian.youku.co*****
*****gmeng@xian.youku.*****
*****zheng@youku.com*****
*****xian.youku.com su*****
*****jun@youku.com cco*****
*****o@youku.com lucas_*****
*****ejing@youku.co*****
*****i@xian.youku.com*****
*****angyi@tudou.com*****
*****aoyu@youku.com wu*****
*****o@xian.youku.com l*****
*****nwang@tudou.com *****
*****tudou.com ZHONGWAN*****
*****jun@youku.com ta*****
*****tao@youku.com n*****
*****uchao@youku.co*****
*****ang1@xian.youku.*****
*****huo@youku.com Cap*****
*****u@youku.com rain*****
*****yy@tudou.com bjzh*****
*****higang@tudou.com u*****
*****an@youku.com g*****
*****ei@youku.com lo*****
*****tangjun@youku.*****
*****dan@youku.com *****
*****youku.com lili_*****
*****ang@youku.com nic*****
*****gyu@youku.com w*****
*****.wei@youku.com*****
*****n@xian.youku.com mi*****
*****ghao@youku.com r*****
*****i@youku.com po0*****
*****.wei@youku.com*****
*****angyufei@youku.co*****
*****tudou.com hahaha*****
*****gyu@youku.com s*****
*****nglin@youku.com*****
*****tangjun@youku.*****
*****xuyan@youku.c*****
*****hen1@xian.youku.co*****
*****ian@youku.com wan*****


上面就是稍微撞了下出来的信息
有了这些信息可以杜工之类的

修复方案:

做好接口验证

版权声明:转载请注明来源 子非海绵宝宝@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-11-11 16:58

厂商回复:

多谢提醒,马上修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-11 16:59 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    好速度啊、

  2. 2014-11-11 17:02 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    秒了。。。

  3. 2014-11-11 17:13 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    等下还有个.... 我研究下利用....