当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128821

漏洞标题:魔方格某处泄露用户信息(根据魔方号可查手机号)

相关厂商:mofangge.com

漏洞作者: 路人甲

提交时间:2015-07-27 10:47

修复时间:2015-09-14 15:06

公开时间:2015-09-14 15:06

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-27: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已经确认,细节仅向厂商公开
2015-08-10: 细节向核心白帽子及相关领域专家公开
2015-08-20: 细节向普通白帽子公开
2015-08-30: 细节向实习白帽子公开
2015-09-14: 细节向公众公开

简要描述:

这个只能针对绑定了手机号码的魔方格帐号,进一步发现该网站找回密码页面存在验证码暴力破解.可以重置绑定过手机号的魔方格号.....

详细说明:

我是一名小学生,因为放暑假了我想起了我以前注册的魔方格号。但迫于我的智商,我忘记了密码。幸运的是,我还记得我魔方格的号码。于是我就去找回密码.

1.png


突然,我傻逼了。我觉得我应该要一个靓号,于是我填了这样一个魔方格号码.

2.png


提示输入的魔方号有误,请重新填写。直到我填写了8位魔方格号码....

3.png


魔方格号码是没有错了,可是提示没有绑定手机.看了下页面手机号码是用****显示的,于是用burp神奇爬行了下http://user.mofangge.com。神奇的发现里面有一个接口,看样子是获取手机号码的.于是,我填了一个很靓的魔方格帐号,成功了!

4.png


验证码可以测试出来...

5.png


发现是四位数,而且没用过期时间....然后用burp跑验证码,就可以重置密码了

6.png


漏洞证明:

http://user.mofangge.com/Account/GetBindPhone?userId=66666666


01.png


http://user.mofangge.com/Account/GetBindPhone?userId=68205096


02.png


用burp跑验证码,重置密码后登陆魔方格帐号....

03.png


看下是不是那个手机号...看来是的....

04.png


修复方案:

...你懂的

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-07-31 15:06

厂商回复:

该功能是在针对简化儿童操作习惯而做的,竟然被人利用,真是太...。
漏洞已修复。

最新状态:

暂无