当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0124429

漏洞标题:信息收集教程1-麦芽宝贝敏感信息泄露导致网站所有用户任意登陆进而约妹纸

相关厂商:miyabaobei.com

漏洞作者: pyphrb

提交时间:2015-07-04 10:25

修复时间:2015-08-20 11:00

公开时间:2015-08-20 11:00

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-04: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-16: 细节向核心白帽子及相关领域专家公开
2015-07-26: 细节向普通白帽子公开
2015-08-05: 细节向实习白帽子公开
2015-08-20: 细节向公众公开

简要描述:

蜜芽宝贝 拉勾认证
中国首家进口母婴品牌限时特卖商城。在国内首创“母婴品牌限时特卖”的概念。

详细说明:

1.png


看到这来找找漏洞
上升到用户数据安全了
尼玛重置你们用户有木有,数据安全很重要

漏洞证明:

从github入手

1.png


于是进来了,有木有

1.png


然后尼玛发现一个问题,这个好像是用户密码重置的,账号
于是试了试
看到一封邮件
然后点进去试了下

1.png


2.png


3.png


1.png


然后没有然后哥哥,不好github啊,容易问题
然后你们公司的妹子不少
裙楼共享地址:\\172.16.104.209
主楼共享地址:\\172.16.96.209

修复方案:

求妹子

1.png

版权声明:转载请注明来源 pyphrb@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-06 10:59

厂商回复:

谢谢,请帮忙隐掉关键信息

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-04 11:04 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    看看教程

  2. 2015-07-04 11:17 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    我进过他们后台,哈哈 WooYun: 蜜芽宝贝APP盲打泄漏#可修改活动以及商城商品价格

  3. 2015-07-04 11:18 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    你还搞个1啊,你是要续集吗,哈哈

  4. 2015-07-04 11:32 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    看看

  5. 2015-07-04 12:02 | kylin ( 路人 | Rank:3 漏洞数:1 | 我是包子)

    母婴店约妹纸。。。。。你是要约母还是约婴

  6. 2015-07-04 12:12 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    不要冒充我表哥

  7. 2015-07-04 12:20 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    我已经告诉我@园长表哥了,你死定了

  8. 2015-07-04 12:21 | pyphrb ( 实习白帽子 | Rank:47 漏洞数:6 | ...........................................)

    @随随意意 = =

  9. 2015-07-04 12:34 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @pyphrb 告诉大家一个好消息,洞主把蜜芽的“蜜”打成了“麦”

  10. 2015-07-04 12:36 | pyphrb ( 实习白帽子 | Rank:47 漏洞数:6 | ...........................................)

    @小龙 语文是体育老师教的

  11. 2015-07-04 12:37 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @pyphrb 大兄弟,我本来帮你找下蜜芽的负责人的,但是太久了,我忘记是那个仁兄维护的了,囧

  12. 2015-07-04 14:29 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    喜欢教程有没有大牛来一个 大厂商SQL实例教程 像二哥那样

  13. 2015-07-04 22:37 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    我给大家讲下这货Id的由来吧,就是精通python+php+ruby的意思,哈哈@园长

  14. 2015-07-04 23:19 | fuzz-ing ( 普通白帽子 | Rank:104 漏洞数:21 | 闭关半年)

    我是来看教程的

  15. 2015-07-26 09:29 | lnterface ( 实习白帽子 | Rank:41 漏洞数:12 | 还没想好嘛!)

    我是来看教程的

  16. 2015-07-27 14:01 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    这个漏洞很有意思啊