当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0159952

漏洞标题:软媒旗下网站设计缺陷可撞库

相关厂商:ruanmei.com

漏洞作者: zsmj

提交时间:2016-01-04 15:34

修复时间:2016-01-28 15:25

公开时间:2016-01-28 15:25

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-04: 细节已通知厂商并且等待厂商处理中
2016-01-06: 厂商已经确认,细节仅向厂商公开
2016-01-16: 细节向核心白帽子及相关领域专家公开
2016-01-26: 细节向普通白帽子公开
2016-02-05: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

青岛软媒刺客团队所开发的软件有:闪游浏览器、魔方、Windows7优化大师、Vista优化大师、酷点、Win7/Vista一键还原、win8优化大师。
注册一个软媒通行证可用于:IT之家、IT圈站点及软媒魔方、旗鱼浏览器等产品。

详细说明:

1、登录软媒通行证,由于未设置验证码与登录错误限制,存在撞库风险

http://i.ruanmei.com/


10.png


2、截取数据包,使用邮箱字典简单撞库登录,点到为止

3.png


4.png


5.png


6.png


数千用户,不一一贴图了,可恶意修改用户密码以及个人信息。

使用账号[email protected]/123456


3、登录软媒通行证

http://i.ruanmei.com/


7.png


4、登录it之家

http://www.ithome.com/


12.png


5、登录it圈

http://quan.ithome.com/


13.png


6、登录软媒魔方

14.png


7、旗鱼浏览器

15.png

漏洞证明:

同上

修复方案:

下载了软媒魔方、旗鱼浏览器、it之家、
如此大的一个软媒圈,应保护好用户信息。
ps: uwp版it之家绝对是wp中的精品软件!

1、加入登录验证码
2、登录错误次数限制
3、用户注册密码不能过于简单

版权声明:转载请注明来源 zsmj@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-01-06 15:09

厂商回复:

感谢提供

最新状态:

暂无