漏洞概要
关注数(24)
关注此漏洞
漏洞标题:Uber优步撞库攻击
提交时间:2016-03-23 14:20
修复时间:2016-05-09 18:03
公开时间:2016-05-09 18:03
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2016-03-23: 细节已通知厂商并且等待厂商处理中
2016-03-25: 厂商已经确认,细节仅向厂商公开
2016-04-04: 细节向核心白帽子及相关领域专家公开
2016-04-14: 细节向普通白帽子公开
2016-04-24: 细节向实习白帽子公开
2016-05-09: 细节向公众公开
简要描述:
一直以为老外的程序设计的比较科学,但是Uber改了我的三观
详细说明:
Uber客户端可撞库。
打开Uber客户端,登录时抓到如下链接。然后对手机号进行fuzz
下图是返回的HTTP code,200为登录成功,404为存在用户,403为不存在用户
拿到了账号密码后,登录测试一下
漏洞证明:
修复方案:
版权声明:转载请注明来源 土夫子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2016-03-25 18:03
厂商回复:
CNVD未直接复现所述漏洞情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。
最新状态:
暂无
漏洞评价:
评价
-
2016-03-23 14:22 |
Aasron ( 普通白帽子 | Rank:760 漏洞数:144 | raw_input("你知道我要输入什么?"))
-
2016-03-23 14:24 |
大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)
早卸载优步了,授权的支付宝都不方便取消。免密码自动支付,心里不踏实,慎的慌!借用洞主一句话:滴滴一下,马上出发。打车还是用滴滴吧
-
2016-03-23 14:37 |
十月 ( 路人 | Rank:12 漏洞数:1 | 小人物)
-
2016-03-23 14:39 |
路人毛 ( 普通白帽子 | Rank:109 漏洞数:44 | 要想Rank给高,标题一定得屌)
-
2016-03-23 14:39 |
px1624 ( 普通白帽子 | Rank:1117 漏洞数:194 | px1624)
妈蛋,uber无缘无故封我帐号半年多了,还天天给我发广告!
-
2016-03-23 14:46 |
socket ( 实习白帽子 | Rank:53 漏洞数:20 | )
-
2016-03-23 14:50 |
0h1in9e ( 路人 | Rank:23 漏洞数:12 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)
-
2016-03-23 14:50 |
带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)
@px1624 我准备用.有60的优惠券.计划使用中
-
2016-03-23 15:01 |
路人毛 ( 普通白帽子 | Rank:109 漏洞数:44 | 要想Rank给高,标题一定得屌)
-
2016-03-23 15:07 |
中国公民 ( 路人 | Rank:25 漏洞数:12 | 脱裤不提交,提交不脱裤)
-
2016-03-23 16:02 |
龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的,只有不想做的)
-
2016-03-23 16:06 |
土夫子 ( 普通白帽子 | Rank:469 漏洞数:83 | 看似山穷水尽,终将柳暗花明)
-
2016-03-23 16:15 |
龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的,只有不想做的)
@土夫子 大神啊 解释就是有利的掩饰 你也是提交的真是时候
-
2016-03-23 16:16 |
Stanla ( 路人 | Rank:12 漏洞数:3 | 此生无悔入华夏,来世还生种花家。每一个...)
-
2016-03-29 08:56 |
f4ckbaidu ( 普通白帽子 | Rank:255 漏洞数:32 | 开发真是日了狗了)
-
2016-03-29 09:01 |
px1624 ( 普通白帽子 | Rank:1117 漏洞数:194 | px1624)
