当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136994

漏洞标题:大麦票务网站疑似会员数据泄露总量达到上百万

相关厂商:大麦网

漏洞作者: Alsn

提交时间:2015-08-26 08:39

修复时间:2015-10-10 13:24

公开时间:2015-10-10 13:24

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开

简要描述:

去了一个社工库论坛,于是看到了大麦数据库,下载下来看看 于是就有了下面的内容!!!!

详细说明:

首先说明,大麦网站会员数据的库子并不是我拖的,我是在一个社工库论坛所见到,然后下载下来,供大麦官方认证下是否是大麦网站的会员数据!!!!如果是,希望大麦官方可以认真对待这个事件,如果不存在,那么就当我没提交过此漏洞!!!

漏洞证明:

1.首先我们访问大麦官方(www.damai.cn)这是他的官方网站。首先我们访问下!

大麦1.png


2.看下我在社工库一个网站下载的数据。

大麦2.png


大麦3.png


3.先解开MD5

4.jpg


5.png


4.我们尝试登录

成功登录.png


我们可以看到很多东西,下面截图证明。

数据泄露.png


有可能有人说 就这一个怎么能证明呢?那我们继续测试!

继续.png


解密.png


再次成功.png


测试就到这里,希望大麦网认真对待!
会员数据,泄露了手机号,订单,收货地址等。
下面提供一些大麦网会员数据供大家验证 也供厂商验证!!!
[email protected] zhongzhan 纪小展
[email protected] langmanfeiyang 玥宁
[email protected] 082218 夏艳晴
三个够了吧 大家测试吧!!!

修复方案:

其实做为一名普通的白帽子,我很想对厂商说一句话,白帽子挖洞不容易,不要把我们的挖洞那辛勤的汗水辜负了,看到的漏洞,希望厂商认真对待,我们挖洞不容易,我相信厂商知道我说的什么意思。漏洞就算忽略了,感觉问题不大也要补上,补总比不补强,把网站变的安安全全的,这就是厂商需要做的。说的有点多,只是希望,厂商能认真对待网站的不足!
修复方案:通知大麦网站会员更改密码!谢谢!!!

版权声明:转载请注明来源 Alsn@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-26 13:22

厂商回复:

感谢提供的信息

最新状态:

暂无