当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108615

漏洞标题:天天果园配置不当导致全部会员信息泄露(面单+果卡+会员手机号+订单)

相关厂商:fruitday.com

漏洞作者: 爱上平顶山

提交时间:2015-04-17 16:09

修复时间:2015-06-04 16:46

公开时间:2015-06-04 16:46

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-17: 细节已通知厂商并且等待厂商处理中
2015-04-20: 厂商已经确认,细节仅向厂商公开
2015-04-30: 细节向核心白帽子及相关领域专家公开
2015-05-10: 细节向普通白帽子公开
2015-05-20: 细节向实习白帽子公开
2015-06-04: 细节向公众公开

简要描述:

...

详细说明:

天天果园

POST / HTTP/1.1
Host: home.fruitday.com
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://home.fruitday.com/
Cookie: dancer.session=64374863537410807768258637197826183
X-Forwarded-For: 8.8.8.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 33
username=wangchao&password=123***


http://home.fruitday.com/ Home系统
直接导入国人姓名top500 爆破之:
wangchao 123*** 出来了
进来了

9.jpg


呼叫中心

8.jpg


电话记录

7.jpg


这。。。 代金券自己可以做...

6.jpg


ok 涉及敏感信息 不上图了 老大.. 来200张代金券可好~~

漏洞证明:

···

修复方案:

加强安全意识

版权声明:转载请注明来源 爱上平顶山@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-04-20 16:45

厂商回复:

非常感谢您提供的漏洞,我们会尽快修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-17 18:07 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    mongodb还是啥?

  2. 2015-04-17 18:12 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @紫霞仙子 mongdb不值得一提

  3. 2015-04-17 18:17 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @爱上平顶山 目测注入或者svn或者github

  4. 2015-04-17 18:21 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @小龙 一个也没猜对、、、R...

  5. 2015-06-04 17:27 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    山哥top字典哪里有@爱上平顶山