当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141552

漏洞标题:酷狗一接口设计不当可撞库用户

相关厂商:酷狗

漏洞作者: 路人甲

提交时间:2015-09-17 16:32

修复时间:2015-11-02 16:40

公开时间:2015-11-02 16:40

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开

简要描述:

酷狗一接口设计不当可撞库用户

详细说明:

http://www1.kugou.com/user/NLoginChenck_1.aspx
这个接口了,这个登录位置没有验证码的限制,但是经过测试是有次数限制的,又发现这个次数限制是针对IP的,绕过方式就不多说什么了

1.png


抓包用户名密码均明文传输方式

2.png


判断回显没看到登陆成功的提示

3.png


4.png


5.png


但是直觉告诉我应该是可以撞库的,600+的是可以登录的,但是不知道为啥回显提示的是未登录啥的

fyswt	1989320	666
lucass	13019112423	669
rulai88	88667733	670
n1k2003	huangsen	670
pengjj2	19841023	670
June_10	ylj850610	670
tottima10	maning245	671
gmj0519	19820519	671
mukeyiyi	520120	672
nakedemo	79356587	672
kozo4424	5068941	672
afooo.cn	afooo105	672
zhuyu301	zhuyuaijia	672
zeradona	411310	672
songntex	panasonic	673
xunuolike	880723l	674
tsdlesser	capricorn7	674
handong220	52671314	676
weiyuanhot	wei3036429	676
gonghuikang	haoren	678
106156306	123456	678
thinker1000	19871008	678
zhanghanwei	123456	679
muyehanshang	123456	680
a3220cs	2373868	683
kuaile380503174	840420	686
454545874	123456	698
yuzhufeng	6985210	702
a8901430	a8901430	708


主站登陆证明:

6.png


7.png

漏洞证明:

6.png


7.png

修复方案:

加强验证吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-09-18 16:38

厂商回复:

谢谢

最新状态:

暂无

漏洞评价:

评论