漏洞概要
关注数(24)
关注此漏洞
漏洞标题:苏宁某接口可撞库(员工号+SOA密码)
提交时间:2015-07-20 16:50
修复时间:2015-09-03 17:58
公开时间:2015-09-03 17:58
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-03: 细节向公众公开
简要描述:
哎,本来出去了,想着等装完就提洞,没想到回来的时候发现网断了(学校是登陆账号,一会儿15m就断),开机之后,发现iwindows update失败,弄了一会,弄不好,重装系统。这就到了今天早晨。╮(╯▽╰)╭
详细说明:
果断下载,安装。在app的设置》个人账号》苏宁员工认证。
staffId标记后四位,密码123456(本来想组合,哎,网段的我都没什么兴趣了,只好就用123456)
生成一个四位数字典
123456成功的
其他弱口令,厂商自己查吧。这次撞库,=试一次忧伤的撞库
我就觉得少些图片这证明,刚才忘记放手机图片了。
棉麻正确的话会提示已绑定
错误的话,会提示员工号或者密码错误
这是我已经绑定了的。绑定成功后就没有认证接口了。
漏洞证明:
同样也是这个app反馈处
我擦勒,一个cookie这么长,我也是醉醉的。
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-07-20 17:56
厂商回复:
感谢提交。
最新状态:
暂无
漏洞评价:
评论
-
2015-07-20 18:12 |
DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)