当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138978

漏洞标题:视频网站安全之优酷土豆某接口控制不严可获取大量员工信息(CEO姓名\性别\星座\联系方式等)

相关厂商:优酷

漏洞作者: HackBraid

提交时间:2015-09-04 16:13

修复时间:2015-10-19 21:22

公开时间:2015-10-19 21:22

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-04: 细节已通知厂商并且等待厂商处理中
2015-09-04: 厂商已经确认,细节仅向厂商公开
2015-09-14: 细节向核心白帽子及相关领域专家公开
2015-09-24: 细节向普通白帽子公开
2015-10-04: 细节向实习白帽子公开
2015-10-19: 细节向公众公开

简要描述:

RT
我是如何获取优酷CEO信息的

详细说明:

01# 起源
起源于s0mun5兄http://wooyun.org/bugs/wooyun-2010-085917这个漏洞,里面有张截图泄漏了员工号和邮箱前缀,没打码哈哈~

t1.jpg


尝试F000015+suqiang,成功绑定!

Screenshot_2015-09-04-15-05-44.png


02# “通缉”CEO
我们先随意找某个人,就top500的张伟吧,查看到张伟的个人信息:

Screenshot_2015-09-04-15-15-18.png


看到直线主管时周展,我们继续找周展:

Screenshot_2015-09-04-15-17-06.png


继续找苏立,发现苏立已经是首席运营官了:

Screenshot_2015-09-04-15-18-45.png


最后找到CEO古永锵:

811C191B-C275-45CE-9F76-D2BEE7E80A17.png


03# 其他员工资料
总裁魏明:

FF32AC02-9536-4EE6-8820-74C41B441980.png


总监李伟:

684ED182-758C-40CF-84EA-CF472581FE2B.png


总监于妍:

BE8E010C-3F83-4691-B88E-E66E59F381E0.png


。。。

漏洞证明:

通过top500用户名找的~会不会有精华

修复方案:

加其它像手机号动态口令验证方式

版权声明:转载请注明来源 HackBraid@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-09-04 21:20

厂商回复:

感谢“HackBraid”提醒!我们会尽快解决该问题!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-04 16:34 | 小驴牙牙 ( 普通白帽子 | Rank:168 漏洞数:43 | 不断学习,进步!)

    虽不晓,但觉吊~

  2. 2015-09-04 18:38 | pyphrb ( 实习白帽子 | Rank:47 漏洞数:6 | ...........................................)

    卧槽,bob牛又开始邮箱了

  3. 2015-09-04 18:50 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    又来bob牛

  4. 2015-09-04 18:52 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1674 漏洞数:267 | ...........................................)

    @scanf @pyphrb 囧,不同漏洞啦~

  5. 2015-09-04 19:20 | 高小厨 ( 普通白帽子 | Rank:821 漏洞数:74 | 不会吹牛的小二不是好厨子!)

    洗衣欧是什么星座呢

  6. 2015-09-04 20:43 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    表哥牛逼

  7. 2015-09-04 20:51 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1674 漏洞数:267 | ...........................................)

    @高小厨 @Finger rank777发现第二个!

  8. 2015-09-04 20:54 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    @HackBraid 为什么会有星座,[笑哭

  9. 2015-09-04 20:57 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1674 漏洞数:267 | ...........................................)

    @DloveJ - -!

  10. 2015-09-04 21:08 | 日出东方 ( 普通白帽子 | Rank:258 漏洞数:83 )

    一哥 二哥 表哥 都是谁呀。。望科普

  11. 2015-09-04 21:13 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    @日出东方 一哥Jannock 二哥gainover 至于表哥嘛。。。那是我的表哥

  12. 2015-09-04 21:18 | 小人物Reno ( 普通白帽子 | Rank:477 漏洞数:112 | X)

    大表哥在此!右侧点赞有惊喜!

  13. 2015-09-04 21:41 | 日出东方 ( 普通白帽子 | Rank:258 漏洞数:83 )

    @从容 。。。