漏洞概要
关注数(24)
关注此漏洞
漏洞标题:酷讯网短信发送系统弱口令(一千多万已发送记录包含用户密码)
提交时间:2014-12-03 20:56
修复时间:2015-01-17 20:58
公开时间:2015-01-17 20:58
漏洞类型:后台弱口令
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-12-03: 细节已通知厂商并且等待厂商处理中
2014-12-09: 厂商已经确认,细节仅向厂商公开
2014-12-19: 细节向核心白帽子及相关领域专家公开
2014-12-29: 细节向普通白帽子公开
2015-01-08: 细节向实习白帽子公开
2015-01-17: 细节向公众公开
简要描述:
可查看已发送短信记录,短信包含了用户注册的手机号与密码,可直接登录网站查看用户订单以及用户姓名及身份证号.
如果被人利用诈骗,后果将不可想象.
详细说明:
此洞是从上一个洞 http://www.wooyun.org/bugs/wooyun-2014-085759 中发现的,因为整理时信息太多,忘记提交这个洞了.
此洞如果被人利用,后果将不可想象.
漏洞证明:
这里可以查看已发送记录
尝试登陆用户成功
用户订单
我给自己手机发送了一条测试
修复方案:
版权声明:转载请注明来源 几何黑店@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-12-09 17:01
厂商回复:
确认漏洞存在,正在积极修复。感谢@几何黑店
最新状态:
2014-12-09:确认漏洞存在
漏洞评价:
评论
-
2014-12-03 20:59 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2014-12-03 21:00 |
东方不败 ( 普通白帽子 | Rank:440 漏洞数:66 | 日出东方,唯我不败。)
-
2014-12-03 21:00 |
几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)
-
2014-12-03 21:23 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
我.........++ 下次不敢用了.... 不.. 以后都不会用了
-
2014-12-03 22:03 |
几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)
http://club.china.com/data/thread/7137692/2772/25/63/1_1.html
-
2014-12-03 22:27 |
炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)
@zeracker @疯狗 @xsser 你们看得到详细的吧
-
2014-12-03 23:42 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2014-12-04 00:17 |
秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
-
2014-12-04 00:31 |
Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)
-
2014-12-04 09:26 |
黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)
-
2014-12-09 17:33 |
刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)
我今天早上在手机上看到这个,以及详情提到的WooYun-2014-85759 都是公开的,难道幻觉。
-
2014-12-09 17:54 |
路人N ( 路人 | Rank:12 漏洞数:8 )
-
2014-12-09 21:57 |
kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)
-
2015-01-18 00:40 |
Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA,I am coming!!!!!)
-
2015-01-18 11:17 |
园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)
