漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-066399
漏洞标题:同程网APP某端口泄露大量用户手机号
相关厂商:苏州同程旅游网络科技有限公司
漏洞作者: 蜉蝣
提交时间:2014-06-30 11:44
修复时间:2014-07-01 16:14
公开时间:2014-07-01 16:14
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:1
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-30: 细节已通知厂商并且等待厂商处理中
2014-07-01: 厂商已经确认,细节仅向厂商公开
2014-07-01: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
信息泄露也是个大问题,尤其是中了IPAD的
详细说明:
在APP中进入每日签到转盘时,有个GET包里面是中奖人的手机号,除了大奖IPAD的手机号,还实时出现那些抽到游戏币的用户手机,如果做个采集后果不堪设想
漏洞证明:
在APP中进入每日签到转盘时,有个GET包里面是中奖人的手机号,除了大奖IPAD的手机号,还实时出现那些抽到游戏币的用户手机,如果做个采集后果不堪设想
修复方案:
加**oo
版权声明:转载请注明来源 蜉蝣@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-07-01 10:12
厂商回复:
刚接手公司的乌云帐号,昨天晚上看到,死活记不起密码了。
根据描述,抓包复现了下,早上来看确实是这个问题。
哥们你说“泄漏大量用户手机号”可把我吓坏了,一夜没睡好。
确实是开发疏忽了,已安排同事修改。
ps 现在正在招安全工程师,兄弟感兴趣不 end5MDg1MTIjbHkuY29t
最新状态:
2014-07-01:已修复,200元京东购物卡送出,感谢关注同程旅游。