178游戏网某游戏登录接口设计缺陷可撞库用户

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0148695

漏洞标题：178游戏网某游戏登录接口设计缺陷可撞库用户

漏洞作者：路人甲

提交时间：2015-10-22 19:03

修复时间：2015-12-07 11:26

公开时间：2015-12-07 11:26

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-22：细节已通知厂商并且等待厂商处理中
2015-10-23：厂商已经确认，细节仅向厂商公开
2015-11-02：细节向核心白帽子及相关领域专家公开
2015-11-12：细节向普通白帽子公开
2015-11-22：细节向实习白帽子公开
2015-12-07：细节向公众公开

简要描述：

178游戏网某游戏登录接口设计缺陷可撞库用户

详细说明：

http://jiang.178.com/这个接口好像是178旗下一款游戏的登录接口，登录位置没有验证码没有限制

用户名和密码明文传输的

测试撞库攻击是成功的，这里贴出小部分成功的帐号证明：

ske000	chenjietan	963
319424	993682	963
xgw213	135213xgw	974
a3220cs	2373868	975
kofcs	30122248	975
woaityc110	5562312	978
asllg	Bin880930	978
hwjfxtp	120324707	979
529326871	7043401	981
289912888	3220899ex	989
mayi0625	910625	990
tsdlesser	capricorn7	990
mukeyiyi	520120	990
daibao719	5207191314	990
handong220	52671314	990
vkbshfm	43674213	991
qscwdv32	1wnzhua	993
zhuyu301	zhuyuaijia	993
tottima10	maning245	994
wqi_ang	1123581321	994
hyuhanchen	37054643	994
wangli0099	138203wang	994
kaysmile	8608702	995
handong220	52671314	996
xiaoma0226	7894997	996
hexiaowe_3516	25245275	997

然后我去主站测试登录发现也是可以的

游戏网存在撞库个人感觉实在不应该。。

漏洞证明：

http://jiang.178.com/这个接口好像是178旗下一款游戏的登录接口，登录位置没有验证码没有限制

用户名和密码明文传输的

测试撞库攻击是成功的，这里贴出小部分成功的帐号证明：

ske000	chenjietan	963
319424	993682	963
xgw213	135213xgw	974
a3220cs	2373868	975
kofcs	30122248	975
woaityc110	5562312	978
asllg	Bin880930	978
hwjfxtp	120324707	979
529326871	7043401	981
289912888	3220899ex	989
mayi0625	910625	990
tsdlesser	capricorn7	990
mukeyiyi	520120	990
daibao719	5207191314	990
handong220	52671314	990
vkbshfm	43674213	991
qscwdv32	1wnzhua	993
zhuyu301	zhuyuaijia	993
tottima10	maning245	994
wqi_ang	1123581321	994
hyuhanchen	37054643	994
wangli0099	138203wang	994
kaysmile	8608702	995
handong220	52671314	996
xiaoma0226	7894997	996
hexiaowe_3516	25245275	997

然后我去主站测试登录发现也是可以的

游戏网存在撞库个人感觉实在不应该。。

修复方案：

- -

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-10-23 11:24

厂商回复：

感谢洞主对完美世界的关注，我们将尽快修补。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0148695

漏洞标题：178游戏网某游戏登录接口设计缺陷可撞库用户

相关厂商：178游戏网

漏洞作者：路人甲

提交时间：2015-10-22 19:03

修复时间：2015-12-07 11:26

公开时间：2015-12-07 11:26

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0148695

漏洞标题：178游戏网某游戏登录接口设计缺陷可撞库用户

相关厂商：178游戏网

漏洞作者： 路人甲

提交时间：2015-10-22 19:03

修复时间：2015-12-07 11:26

公开时间：2015-12-07 11:26

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0148695"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云