漏洞概要
关注数(24)
关注此漏洞
漏洞标题:酷我音乐接口设置不当导致可撞攻击(大量弱口令帐号证明)
提交时间:2014-12-08 10:32
修复时间:2014-12-13 10:34
公开时间:2014-12-13 10:34
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-12-08: 细节已通知厂商并且等待厂商处理中
2014-12-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT,
详细说明:
首先是主站的接口
就是在主站右上角的登陆接口是一个。
其次是在http://kzone.kuwo.cn/mlog/
这个也是一个
两个端口都没有验证码。
没有做限制
明文传输的密码和用户
发送包如下
第一个接口的:
第二个接口的:
漏洞证明:
轻松过千
少量账号作证:
大概两百个左右
修复方案:
版权声明:转载请注明来源 花心h@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-12-13 10:34
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2014-12-14 11:18 |
花心h ( 实习白帽子 | Rank:88 漏洞数:28 | 此用户已封停)
-
2014-12-15 17:17 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2014-12-18 23:26 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
@疯狗 狗哥,不是换人了,而是不接收洞了,酷我要倒闭了?不知道吗?v