当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0179984

漏洞标题:tom邮箱某分站可撞库用户(成功案例证明)

相关厂商:TOM在线

漏洞作者: 路人甲

提交时间:2016-03-02 09:38

修复时间:2016-03-07 09:40

公开时间:2016-03-07 09:40

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-02: 细节已通知厂商并且等待厂商处理中
2016-03-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

tom邮箱某分站可撞库用户(成功案例证明)

详细说明:

http://hjsm.tom.com/登录位置无验证码无限制

1.png


抓包用户名密码明文传输

2.png


test撞库OK

3.png


成功案例证明:

mask 区域
*****1120	*****
*****2315*****
*****60603*****
*****3456 *****
*****1212*****
*****1333 *****
*****24143 *****
*****67456 *****
*****456 1*****
*****25812*****
*****ghao *****
*****97504*****
*****13464*****
*****3388 *****
*****74213 *****
*****82071*****
*****862111*****
*****gxing *****
*****nzhua *****
*****272895*****
*****314520*****
*****561034*****
*****26265*****
*****90082*****
*****90196 *****
*****008621*****
*****370075*****
*****64127*****
*****ddd235*****
*****iangba*****
*****458822*****
*****57828*****
*****758521*****
*****237459*****
*****769785*****
*****51076 *****
*****54452 *****
*****872611*****
*****gical *****
*****501201*****
*****23456 *****
*****isiwei*****
*****684505*****
*****655799*****
*****325699*****
*****058734*****
*****66486 *****
*****23456 *****
*****23456 *****
*****23456 *****
*****134865*****
*****793431*****
***** 19891*****
*****670105*****
*****45612*****
*****53315 *****
*****1541827*****
*****angjin*****
*****161105*****
*****758659*****
*****482326*****
*****048517*****
*****751251*****
*****166802*****
*****341889*****
*****hp1231*****
*****70880 *****
*****49555 *****
*****ixu325*****
*****25113 *****
*****418695*****
*****321816*****
*****693049*****
*****80135a*****
*****23456 *****
*****jielun*****
*****20788 *****
***** 31802*****
*****9519456*****
*****23456 *****
*****531574*****
*****33633 *****
*****0589266*****
*****829638*****
***** dabis*****
***** 19861*****
***** 22888*****
*****102030z*****
*****4952981*****
*****592570*****
***** 52422*****
*****5 1985*****
*****198902*****
*****456 1*****
*****0129 *****
*****3321 *****
*****3321 *****
*****880406*****
*****9487 *****
*****3456 *****
*****979090*****
*****98792 *****
*****6307778*****
*****456789*****
*****982090*****
*****7879 *****
*****angjie*****

漏洞证明:

http://hjsm.tom.com/登录位置无验证码无限制

1.png


抓包用户名密码明文传输

2.png


test撞库OK

3.png


成功案例证明:

mask 区域
*****1120	*****
*****2315*****
*****60603*****
*****3456 *****
*****1212*****
*****1333 *****
*****24143 *****
*****67456 *****
*****456 1*****
*****25812*****
*****ghao *****
*****97504*****
*****13464*****
*****3388 *****
*****74213 *****
*****82071*****
*****862111*****
*****gxing *****
*****nzhua *****
*****272895*****
*****314520*****
*****561034*****
*****26265*****
*****90082*****
*****90196 *****
*****008621*****
*****370075*****
*****64127*****
*****ddd235*****
*****iangba*****
*****458822*****
*****57828*****
*****758521*****
*****237459*****
*****769785*****
*****51076 *****
*****54452 *****
*****872611*****
*****gical *****
*****501201*****
*****23456 *****
*****isiwei*****
*****684505*****
*****655799*****
*****325699*****
*****058734*****
*****66486 *****
*****23456 *****
*****23456 *****
*****23456 *****
*****134865*****
*****793431*****
***** 19891*****
*****670105*****
*****45612*****
*****53315 *****
*****1541827*****
*****angjin*****
*****161105*****
*****758659*****
*****482326*****
*****048517*****
*****751251*****
*****166802*****
*****341889*****
*****hp1231*****
*****70880 *****
*****49555 *****
*****ixu325*****
*****25113 *****
*****418695*****
*****321816*****
*****693049*****
*****80135a*****
*****23456 *****
*****jielun*****
*****20788 *****
***** 31802*****
*****9519456*****
*****23456 *****
*****531574*****
*****33633 *****
*****0589266*****
*****829638*****
***** dabis*****
***** 19861*****
***** 22888*****
*****102030z*****
*****4952981*****
*****592570*****
***** 52422*****
*****5 1985*****
*****198902*****
*****456 1*****
*****0129 *****
*****3321 *****
*****3321 *****
*****880406*****
*****9487 *****
*****3456 *****
*****979090*****
*****98792 *****
*****6307778*****
*****456789*****
*****982090*****
*****7879 *****
*****angjie*****

修复方案:

加密

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-07 09:40

厂商回复:

最新状态:

暂无


漏洞评价:

评价