当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133919

漏洞标题:成人用品店(趣网)逻辑错误导致任意用户密码重置

相关厂商:qu.cn

漏洞作者: J0de

提交时间:2015-08-13 18:50

修复时间:2015-08-18 18:52

公开时间:2015-08-18 18:52

漏洞类型:网络设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-13: 细节已通知厂商并且等待厂商处理中
2015-08-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

成人用品店-趣网 逻辑错误导致任意用户密码重置
没什么技术含量 比较了一下午的抓包数据看出来的
大牛不要嘲笑 希望这次能过啊啊啊啊啊。。。。。
邀请码来吧。。。嘿嘿

详细说明:

先用自己的手机注册一下
然后我去找回密码发现每次找回密码抓包后
实际验证码都在包里的 字符串__utma=的前面
然后在注册的地方查了下18888888888注册了
果断找回密码然后抓包卡住

`ALNKH$7[0R%%~}7){LI86A.png


果然出现了

Z5BND5MDKQ$]8QL_T8RK%KL.jpg


登录。。。。

DNI`}B67B0CFPHO1)P87W}D.jpg


漏洞证明:

`ALNKH$7[0R%%~}7){LI86A.png


Z5BND5MDKQ$]8QL_T8RK%KL.jpg


DNI`}B67B0CFPHO1)P87W}D.jpg


修复方案:

数据别返回。。。好吧其实我不懂

版权声明:转载请注明来源 J0de@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-18 18:52

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-13 19:10 | Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)

    其实你就是想去买成人用品然后忘记了密码。。。

  2. 2015-08-13 19:20 | 1937nick ( 实习白帽子 | Rank:97 漏洞数:32 | 水能载舟,亦能煮粥。物尽其用,人尽其能。)

    打脸

  3. 2015-08-13 19:47 | J0de ( 路人 | Rank:0 漏洞数:1 | 小菜一枚...求大表哥带我起飞...)

    @1937nick 大表哥手下留帅哥

  4. 2015-08-13 19:48 | J0de ( 路人 | Rank:0 漏洞数:1 | 小菜一枚...求大表哥带我起飞...)

    @Yang 被你发现了...其实事实是我想一元买玩具...无奈技术太菜...

  5. 2015-08-13 22:15 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    牛逼

  6. 2015-08-14 08:38 | J0de ( 路人 | Rank:0 漏洞数:1 | 小菜一枚...求大表哥带我起飞...)

    @机器猫 。。。大牛别取笑....这是小菜人生第一洞 可不能开玩笑...

  7. 2015-08-18 19:18 | 马崧耀 ( 路人 | Rank:11 漏洞数:1 | ~闲着没事偶尔玩玩)

    6666666666666666

  8. 2015-08-18 23:49 | Mr.ZX ( 路人 | Rank:0 漏洞数:1 | 请输入个人的简要介绍?)

    干的漂亮,说的我也想去弄个玩具了。

  9. 2015-08-19 07:56 | 路人毛 ( 路人 | Rank:23 漏洞数:10 | 昨晚做梦,挖到了电信都漏洞,被电信起诉了...)

    你为何拿了我的土豪号?

  10. 2015-08-19 09:25 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    其实你就是想去买成人用品然后忘记了密码。。。厂商怎么样也应该送你个娃娃,竟然忽略了