买家纺，上天猫，梦洁家纺0元购 | wooyun-2013-018185| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-018185

漏洞标题：买家纺，上天猫，梦洁家纺0元购

漏洞作者： leaf

提交时间：2013-01-31 16:04

修复时间：2013-02-05 16:05

公开时间：2013-02-05 16:05

漏洞类型：服务弱口令

危害等级：高

自评Rank：18

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-01-31：细节已通知厂商并且等待厂商处理中
2013-02-05：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

买家纺，上天猫，梦洁家纺0元购！！！
我一直认为在WEB应用上，用户的用户名和昵称显示为同一个是一个安全隐患，比如淘宝、天猫...您觉得呢？

详细说明：

梦洁家纺弱口令问题不少，呵呵！再加上我前面提交的暴力破解案例，我有理由相信其它地方还存在此类问题，经过几天的尝试，结果证明我猜对了！
过程我就不多说了，大概就是根据目标收集一些关键字，然后利用字典工具进行组合，再大概的筛选出一些可能密码，慢慢手工进行尝试...
另：我一直认为在WEB应用上，用户的用户名和昵称显示为同一个是一个安全隐患，比如淘宝、天猫...您觉得呢？
不多说，上图证明天猫梦洁旗舰店口令被成功猜测：

如果我修改下商品的价格，或者干脆都改为0元，那结果？？？...
...
...
...
and so on!!!

漏洞证明：

如上所述！

修复方案：

修改原有口令，加强口令复杂度并定期更换。

版权声明：转载请注明来源 leaf@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-02-05 16:05

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-018185

漏洞标题：买家纺，上天猫，梦洁家纺0元购

相关厂商：mendale.com

漏洞作者： leaf

提交时间：2013-01-31 16:04

修复时间：2013-02-05 16:05

公开时间：2013-02-05 16:05

漏洞类型：服务弱口令

危害等级：高

自评Rank：18

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 leaf@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-018185

漏洞标题：买家纺，上天猫，梦洁家纺0元购

相关厂商：mendale.com

漏洞作者： leaf

提交时间：2013-01-31 16:04

修复时间：2013-02-05 16:05

公开时间：2013-02-05 16:05

漏洞类型：服务弱口令

危害等级：高

自评Rank：18

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-018185"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 leaf@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：