当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133919

漏洞标题:成人用品店(趣网)逻辑错误导致任意用户密码重置

相关厂商:qu.cn

漏洞作者: J0de

提交时间:2015-08-13 18:50

修复时间:2015-08-18 18:52

公开时间:2015-08-18 18:52

漏洞类型:网络设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-13: 细节已通知厂商并且等待厂商处理中
2015-08-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

成人用品店-趣网 逻辑错误导致任意用户密码重置
没什么技术含量 比较了一下午的抓包数据看出来的
大牛不要嘲笑 希望这次能过啊啊啊啊啊。。。。。
邀请码来吧。。。嘿嘿

详细说明:

先用自己的手机注册一下
然后我去找回密码发现每次找回密码抓包后
实际验证码都在包里的 字符串__utma=的前面
然后在注册的地方查了下18888888888注册了
果断找回密码然后抓包卡住

`ALNKH$7[0R%%~}7){LI86A.png


果然出现了

Z5BND5MDKQ$]8QL_T8RK%KL.jpg


登录。。。。

DNI`}B67B0CFPHO1)P87W}D.jpg


漏洞证明:

`ALNKH$7[0R%%~}7){LI86A.png


Z5BND5MDKQ$]8QL_T8RK%KL.jpg


DNI`}B67B0CFPHO1)P87W}D.jpg


修复方案:

数据别返回。。。好吧其实我不懂

版权声明:转载请注明来源 J0de@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-18 18:52

厂商回复:

最新状态:

暂无