人和网renhe.cn用户密码明文保存 | wooyun-2011-03718| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-03718

漏洞标题：人和网renhe.cn用户密码明文保存

漏洞作者：路人甲

提交时间：2011-12-22 17:01

修复时间：2011-12-22 23:04

公开时间：2011-12-22 23:04

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2011-12-22：积极联系厂商并且等待厂商认领中，细节不对外公开
2011-12-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

通过找回密码测试，人和网renhe.cn居然又是保存用户明文密码，我测试找回密码，居然把我原原本本的密码给发到我邮箱(因为加密的密码是不可逆的)。所以这样的网站是对用户极度不付责任的。

详细说明：

类似与csdn一样，保存用户的明文密码。

漏洞证明：

修复方案：

赶快写程序转换，消除用户备份数据。以防泄漏

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：2 (WooYun评价)