WooYun.org

刚刚逛一号商城，突发奇想...
鉴于之前提交的案例： WooYun: 买家纺，上天猫，梦洁家纺0元购
不知能否复制之前的过程？抑或依然存在类似问题？
先来看看是否入驻：

点击“进店逛逛”：

发现店铺已经被冻结了，是否还要继续？果断继续...为什么呢？既然已经被冻结了，至少有一段时间不使用了，既然不使用，那想必和前面的那波弱口令大潮是一波的，也不太可能有人管了...
尝试登录下1号商城商家管理系统：

看来与之前天猫的用户名和口令并不一致，而且用户名是否是这个还是个未知数，得找个突破口先确定用户名才能有的放矢。从上图的提示可以看出登录处是无法进行有效判断的，那就去注册处“新商家入驻”一探究竟。
用“梦洁旗舰店”作为用户名进行注册，发现提示不符合规范（其实自己太疏忽没仔细看红线部分的说明！）：

继续果断尝试其它可能的用户名，终于试出(当然这个也可能不是，但是后面证实它确实是)：

接下来就好办了，用之前案例中使用的可能密码列表手工尝试，奇迹出现了：

当然，这个店铺已经不再使用了，可能没什么太大的危害，但毕竟这里面的历史订单...包括了许多用户的详细信息...我觉得涉及用户信息的问题就不能被轻视，您觉得呢？