当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135547

漏洞标题:深圳三基同创GPS一处特征型爆破漏洞(可定位七夕约会的妹纸)

相关厂商:3g-elec.com

漏洞作者: 小龙

提交时间:2015-08-20 11:43

修复时间:2015-10-04 19:26

公开时间:2015-10-04 19:26

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-20: 细节已通知厂商并且等待厂商处理中
2015-08-20: 厂商已经确认,细节仅向厂商公开
2015-08-30: 细节向核心白帽子及相关领域专家公开
2015-09-09: 细节向普通白帽子公开
2015-09-19: 细节向实习白帽子公开
2015-10-04: 细节向公众公开

简要描述:

七夕节狂虐恩爱狗

详细说明:

http://gps.3g-elec.com/
发现了大多账号是145127开头,后面四位数随机,密码大多123456
上图不解释返回479,481正确

1.png


成功率非常大,我放上来几个吧。

2.png


1451270050 123456
1451270059 123456
1451270066 123456

3.png


4.png


5.png


6.png


7.png


8.png


漏洞证明:

同样子姓名也可以爆破
lihua 302 false false 395
liwei 302 false false 473
wangkai 302 false false 475
liuyu 302 false false 395

9.png


修复方案:

提醒广大用户修改密码

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-08-20 19:25

厂商回复:

感谢您的发现和建议,我们会持续完善智能设备的安全问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-20 11:55 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    可定位七夕约会的妹纸

  2. 2015-08-20 13:57 | 大师兄 ( 路人 | Rank:6 漏洞数:3 | 每日必关注乌云)

    可定位七夕约会的小龙

  3. 2015-08-20 14:38 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    可定位七夕约会的小龙

  4. 2015-08-20 15:13 | 小龙 ( 普通白帽子 | Rank:1242 漏洞数:317 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @疯狗 @浩天 @xsser 我最后三张图上错了- - 重新编辑了,审核下。。。

  5. 2015-08-20 16:09 | 猫和老鼠 ( 路人 | Rank:4 漏洞数:3 | ...)

    @江苏苏宁易购电子商务有限公司 我们哟会把

  6. 2015-08-20 22:51 | 小龙 ( 普通白帽子 | Rank:1242 漏洞数:317 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @深圳三基同创电子有限公司 这种涉及到现实的东西才5分?老大。拜托给20分可以吗

  7. 2015-08-20 22:51 | 小龙 ( 普通白帽子 | Rank:1242 漏洞数:317 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @深圳三基同创电子有限公司 你忽略了官方都会给15分,汗死了。。。

  8. 2015-08-20 23:10 | 大师兄 ( 路人 | Rank:6 漏洞数:3 | 每日必关注乌云)

    @小龙 算啦,你默默把它加入自己的黑名单就得了。呵呵

  9. 2015-08-20 23:39 | ShAdow丶 ( 实习白帽子 | Rank:76 漏洞数:11 | i am a fans of kimYeWon.)

    5确实有点少了。

  10. 2015-08-21 11:55 | 深圳三基同创电子有限公司(乌云厂商)

    @小龙 不好意思,我是新手,不懂 Rank分是干什么用的!我们三基同创是个默默无闻的小公司,我想知道为什么会有这么多兄弟关注呢?你们是怎么想到帮我们公司发现这些漏洞的呢?谢谢指点!

  11. 2015-08-21 12:48 | 小龙 ( 普通白帽子 | Rank:1242 漏洞数:317 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @深圳三基同创电子有限公司 WooYun: 多品牌智能儿童安全手表存严重漏洞可导致任意儿童被黑客实时监控 三基蜀黍,是他,就是他,他先挖的,然后我随手捡洞而已^_^,请问三基蜀黍索要我地址要查水表吗,还是要送礼物-。- 还有我的信息别给我泄露出去了哈,3Q 囧

  12. 2015-08-21 12:59 | 猫和老鼠 ( 路人 | Rank:4 漏洞数:3 | ...)

    @深圳三基同创电子有限公司 大哥,用脑子想一想这分重不重要,谁会这么无聊帮厂商挖洞为了没用的分, 又不是你员工

  13. 2015-08-22 11:33 | 苏安泽 ( 实习白帽子 | Rank:73 漏洞数:25 | 敢不敢关注一下,<script>alert('关注成功'...)

    @江苏苏宁易购电子商务有限公司 苏宁调皮了