当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085415

漏洞标题:辣妈帮某漏洞导致人妻各种信息泄漏(名字 +地址+联系方式+身份证照片等)危害你懂的

相关厂商:辣妈帮

漏洞作者: 路人甲

提交时间:2014-12-01 09:41

修复时间:2015-01-15 09:42

公开时间:2015-01-15 09:42

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:1

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-01-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

亚马逊招安全工程师, 求推荐 在线等
===========淡疼的分割线============
首先这是一个忧伤的故事
某日半夜qq上来了一条好友申请消息 QQ头像神似以前的初恋女友
本菜b没有各位大神动辄几t的社工库 百度搜索QQ发现注册过辣妈帮
一翻XXOO之后获取到了初恋女友的电话 地址 身份证
再通过大数据检索得到以下信息
苏X婉 2012年9月领证 2014年1月生育一女 现已离异
名下有一部红色现代悦动 车牌冀RXXXXN 已扣6分
今年下半年有多次出入境记录 最近一次是11月初在新加坡 可能是散心
得知她过得不怎么好 我也就安心了。。 继续回去搬砖攒首付。
-----------------------------------------------------------------------
仅仅select了几条记录用作漏洞证明 并未深入脱裤 谢绝水表
至于rank为什么自评为1呢 因为这个漏洞非常蛋疼不太好利用 二目测要厂商忽略 无所谓了

详细说明:

mask 区域
1.http://**.**.**/goods/listcid=9&b=46


p参数存在延时盲注
仅仅select了几条记录用作漏洞证明 并未深入脱裤shell 谢绝水表

11.jpg


22.jpg


漏洞证明:

mask 区域
1.http://**.**.**/goods/listcid=9&b=46


p参数存在延时盲注
仅仅select了几条记录用作漏洞证明 并未深入脱裤shell 谢绝水表

11.jpg


22.jpg


修复方案:

null

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2014-12-01 10:17 | mtfly ( 路人 | Rank:26 漏洞数:6 | 啥都不会)

    人妻( ̄_, ̄ )

  2. 2014-12-01 10:25 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    初恋已为人妻。。

  3. 2014-12-01 10:47 | Matt 认证白帽子 ( 普通白帽子 | Rank:523 漏洞数:107 | 承接代码审计 http://codescan.cn/)

    多次出入境 说明又找到了新的金主撒

  4. 2015-01-15 10:00 | 林枫 ( 实习白帽子 | Rank:44 漏洞数:6 | ....)

    得知她过得不怎么好 我也就安心了

  5. 2015-01-15 10:29 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    将为人妻