漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-087945
漏洞标题:9377大量用户泄露
相关厂商:9377游戏娱乐平台
漏洞作者: 路人甲
提交时间:2014-12-20 17:08
修复时间:2015-02-03 17:10
公开时间:2015-02-03 17:10
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:1
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-12-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
大量用户密码泄露问题
详细说明:
一般的网站有这个问题也就罢了,作为一个做游戏的,毕竟涉及到金钱的东西,这个安全性有待于提高,下面说下方法吧.
首先老方法借助论坛获取用户名(不过有的是中文名可以会和游戏不一样)
http://bbs.9377.com/home.php?mod=space&do=profile&uid=1223
然后就是通过现有库进行大量登录,几乎可以无限登录,登录过于简单了。
http://www.9377.com/login.php?do=login&gourl=http://www.9377.com&password=密码&username=用户名(已拿到的)
密码可以借助现有的库,或者密码字典之类的
登录后可以看到用户玩过的游戏,这个不是送给不法分子去盗取嘛,用上面的连接登录后可以看到用户玩过的游戏
通过大量的用户扫描,大概得到几万用户吧
漏洞证明:
修复方案:
登录部分有待修改
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝