漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-097115
漏洞标题:猫扑网几个奇葩的登录机制缺陷
相关厂商:猫扑
漏洞作者: 奋斗的阿呆
提交时间:2015-02-14 08:42
修复时间:2015-03-31 08:44
公开时间:2015-03-31 08:44
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-14: 细节已通知厂商并且等待厂商处理中
2015-02-14: 厂商已经确认,细节仅向厂商公开
2015-02-24: 细节向核心白帽子及相关领域专家公开
2015-03-06: 细节向普通白帽子公开
2015-03-16: 细节向实习白帽子公开
2015-03-31: 细节向公众公开
简要描述:
今天你上猫扑了么? 额上不去了
详细说明:
各应用通行证登录处 举例http://passport.mop.com/ 没验证码,传输明文,账号可用昵称,邮箱,手机号登录。
首先可以撞库
跑账号
兄弟你这么多MP送我可好?
知道登录不安全,不让我爆破,也别用封禁来惩罚可怜的用户啊
快速登录失败3次 我去 封禁了
找个达人试试
登录错误 1,2,3
这是跟谁有仇,整谁的节奏,试想我要是把达人们的昵称都跑一遍,会是什么节奏。
漏洞证明:
各应用通行证登录处 举例http://passport.mop.com/ 没验证码,传输明文,账号可用昵称,邮箱,手机号登录。
首先可以撞库
跑账号
兄弟你这么多MP送我可好?
知道登录不安全,不让我爆破,也别用封禁来惩罚可怜的用户啊
快速登录失败3次 我去 封禁了
找个达人试试
登录错误 1,2,3
这是跟谁有仇,整谁的节奏,试想我要是把达人们的昵称都跑一遍,会是什么节奏。
修复方案:
很多大的网站都可以参考吧
版权声明:转载请注明来源 奋斗的阿呆@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-02-14 10:22
厂商回复:
非常感谢!
最新状态:
暂无