漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0158243
漏洞标题:小红书任意手机用户密码重置 以18888888888为例
相关厂商:xiaohongshu.com
漏洞作者: Moonbow
提交时间:2015-12-08 19:10
修复时间:2016-01-21 18:22
公开时间:2016-01-21 18:22
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-08: 细节已通知厂商并且等待厂商处理中
2015-12-08: 厂商已经确认,细节仅向厂商公开
2015-12-18: 细节向核心白帽子及相关领域专家公开
2015-12-28: 细节向普通白帽子公开
2016-01-07: 细节向实习白帽子公开
2016-01-21: 细节向公众公开
简要描述:
三分钟也可以做很多事
详细说明:
小红书是一个社区电商平台[1-2] ,帮下一代消费者找到全世界的好东西。2015年9月,国家总理李克强视察了小红书郑州保税仓库,对“小红书”独特的电商模式表示肯定并寄语“希望你们成为这个领域里走在全国前列的创新型企业[3-4] 。”
小红书由毛文超和瞿芳创办于2013年6月[2] 。主要包括两个板块,UGC(用户原创内容)模式的海外购物分享社区[1] ,以及跨境电商“福利社”[6] 。对即将出国的人来说,可以借助这个平台制定自己的购物清单,而暂时没有出国打算的人,可以通过逛社区来增长经验,或者去福利社完成一次“海淘”[7] 。
小红书福利社采用B2C自营模式[8-9] ,直接与海外品牌商或大型贸易商合作,通过保税仓和海外直邮的方式发货给用户[10-11] 。在毛文超看来,这是能保证正品的做法,同时也能保证在进货时拿到有优势的价格[2] 。
福利社上线半年时间,销售额突破7亿[6] [13-14] 。在2015年6月6日开始的周年大促中,小红书在App Store的排名攀升到总榜第四,生活类榜第二。[15]
漏洞证明:
密码已更改成moonbow521.
修复方案:
你们懂
版权声明:转载请注明来源 Moonbow@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2015-12-08 19:20
厂商回复:
可以任意登录手机号确实是最严重一类的问题,我们会立刻修复
最新状态:
暂无