当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131316

漏洞标题:饿了么账户体系控制不严造成大量信息泄露(涉及VPN\eHR等系统)

相关厂商:饿了么

漏洞作者: 小螺号

提交时间:2015-08-03 16:01

修复时间:2015-09-17 18:28

公开时间:2015-09-17 18:28

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-03: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开

简要描述:

饿了么账户体系控制不严,造成大量信息泄露,内网漫游,eHR系统可爆破。

详细说明:

漏洞证明:

wei.wang@ele.me----------password is:wang123
jing.zhang1@ele.me----------password is:11111111

11.png

2.png

333.png

444.png

修复方案:

呵呵

版权声明:转载请注明来源 小螺号@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-03 18:27

厂商回复:

感谢你对饿了么的关注,我们会尽快处理!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-03 16:11 | fuckadmin ( 普通白帽子 | Rank:476 漏洞数:39 | 千里之堤溃于蚁穴)

    不来个内网大漫游太可惜了~

  2. 2015-08-03 16:12 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    email

  3. 2015-08-03 17:09 | 小豹 ( 实习白帽子 | Rank:33 漏洞数:3 | 一个人的寂寞,整个群的错234236)

    小螺号,瞎JB吹。海鸥听了,瞎JB飞。

  4. 2015-08-04 09:25 | 小螺号 ( 实习白帽子 | Rank:56 漏洞数:9 | 小螺号呀嘀嘀的~~~~~~吹)

    @爱上平顶山 棒棒达

  5. 2015-08-07 10:02 | 饿了么(乌云厂商)

    饿了么ESRC漏洞提交地址:security@ele.me 乌云网提交的漏洞,不再发放礼品。

  6. 2015-08-07 12:56 | 小螺号 ( 实习白帽子 | Rank:56 漏洞数:9 | 小螺号呀嘀嘀的~~~~~~吹)

    @饿了么 我也不知道。这次会发么

  7. 2015-08-07 12:57 | 小螺号 ( 实习白帽子 | Rank:56 漏洞数:9 | 小螺号呀嘀嘀的~~~~~~吹)

    @小豹 —_—

  8. 2015-08-07 13:34 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:33 | 看我看我看我啊)

    @饿了么 以前的也没发过啊

  9. 2015-08-07 13:38 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @计算姬 @饿了么 @小螺号 话说提漏洞就是为发礼物吗? 厂商你太年轻了

  10. 2015-08-10 10:26 | 饿了么(乌云厂商)

    @爱上平顶山 有漏洞请提交至security@ele.me 谢谢!后续事情可详谈。我们之前每个人都发的。后来看到各家SRC规则都是这样的。对外公开的不累计积分和奖励的。

  11. 2015-08-10 11:09 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:33 | 看我看我看我啊)

    @饿了么 没收到过啊

  12. 2015-08-12 14:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    @饿了么 不要脸

  13. 2015-08-12 15:01 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:132 )

    @饿了么 不要脸

  14. 2015-08-12 15:02 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    @饿了么 不要脸

  15. 2015-08-12 15:02 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @饿了么 不要脸

  16. 2015-08-12 15:05 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:533 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @饿了么 漏洞提乌云就是为了高兴 提security干嘛 又不公开 没意思

  17. 2015-08-12 15:05 | 李白 ( 普通白帽子 | Rank:142 漏洞数:27 )

    @饿了么 不要脸

  18. 2015-08-12 15:10 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:13 | 我是狗狗侠)

    @饿了么 不要脸

  19. 2015-08-12 15:10 | 我是壮丁 认证白帽子 ( 路人 | Rank:10 漏洞数:1 | 专业打酱油)

    @饿了么 不要脸

  20. 2015-08-12 15:11 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:189 | 逆流而上)

    @饿了么 不要脸

  21. 2015-08-12 15:39 | 1937nick ( 实习白帽子 | Rank:97 漏洞数:28 | 水能载舟,亦能煮粥。物尽其用,人尽其能。)

    说要给你礼物了?

  22. 2015-08-12 15:51 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:10 | 猜猜我是谁?)

    @饿了么 不要脸

  23. 2015-08-12 17:23 | 黑妹 ( 路人 | Rank:10 漏洞数:3 | 嘤嘤嘤~我只是来看看的。。。)

    @饿了么 给我发毛线了?

  24. 2015-08-12 18:35 | 我是你的益达! ( 路人 | Rank:29 漏洞数:3 | 容我喝壹杯捌贰年的雪碧压压精!!)

    @饿了么 不要脸

  25. 2015-08-12 19:04 | 饿了么(乌云厂商)

    江湖辣么大,高手太多啦,大家交朋友,一起喝杯水酒呗,小编为自己的失言表示歉意,奉上礼品卡请大家笑纳,希望大家继续支持饿了么的安全工作,码农哭倒在键盘……

  26. 2015-09-17 20:54 | Mr.Q ( 普通白帽子 | Rank:336 漏洞数:12 | hulala)

    @饿了么 要了我地址到现在还没有给我发礼品呀

  27. 2015-09-17 20:55 | 小螺号 ( 实习白帽子 | Rank:56 漏洞数:9 | 小螺号呀嘀嘀的~~~~~~吹)

    @爱上平顶山 屌屌的