漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-095868
漏洞标题:聚来宝网站用户密码设计漏洞可进入任意帐号获取资料
相关厂商:聚来宝
漏洞作者: 路人甲
提交时间:2015-02-06 14:30
修复时间:2015-03-23 14:32
公开时间:2015-03-23 14:32
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:8
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
聚来宝网站用户密码设计漏洞可进入任意帐号获取资料
详细说明:
在登陆http://www.julaibao.com/web/login.aspx 页面的时候提交登陆一次任意密码 服务器居然返回正确的资料 而密码也只是MD5加密
点击任意选择一个账号吧 就 admin 为例 写入任意密码 点击登陆
好了会是密码错误
查看下源文件
这个也是意外中发现的 居然把这个给返回回来..重要的这密码...........
好了 我们拿这个密码 拿到在线的MD5破解
好吧居然查到密码了 登陆看看
这么多钱 我也是醉了 二级密码更是可以采用爆破方式来破解了 对用户安全可是一大隐患
本人破解的这些账号无保存 无泄漏 而已经删除 不需要担心我做什么坏事啦
漏洞证明:
修复方案:
把这段关键数据不要输出出来吧
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝