漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141601
漏洞标题:土巴兔某处严重漏洞可登陆任意账号(以管理员为例)
相关厂商:土巴兔装修网
漏洞作者: Martial
提交时间:2015-09-16 16:39
修复时间:2015-10-31 17:36
公开时间:2015-10-31 17:36
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-16: 厂商已经确认,细节仅向厂商公开
2015-09-26: 细节向核心白帽子及相关领域专家公开
2015-10-06: 细节向普通白帽子公开
2015-10-16: 细节向实习白帽子公开
2015-10-31: 细节向公众公开
简要描述:
判断不严谨导致的~
详细说明:
问题出在APP 装修 我们先登陆下 抓到数据包
然后修改返回值
{"tips":"1","uid":"119000","status":"ok"} uid决定了你登陆的是那个账号 我们来修改下
然后我改为uid为1 登陆管理员账号试试
漏洞证明:
还能发公告 我就不写了 这个用来诈骗钓鱼 会有啥结果! 不敢想
修复方案:
修改逻辑
版权声明:转载请注明来源 Martial@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2015-09-16 17:35
厂商回复:
这个显示是管理员昵称 但没有管理员权限 感谢对土巴兔安全的支持
最新状态:
暂无