当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112402

漏洞标题:TOM邮箱某接口设计不当可撞库邮箱#2(大量成功账号证明)

相关厂商:TOM在线

漏洞作者: 路人甲

提交时间:2015-05-07 11:29

修复时间:2015-05-12 11:30

公开时间:2015-05-12 11:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:14

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-07: 细节已通知厂商并且等待厂商处理中
2015-05-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

挖洞最苦逼的事莫过于编辑了半天的漏洞最后发现竟然不存在。。

详细说明:

这个接口是一个充值中心的接口:http://tangyuan.tom.com/login.php可以看到没有任何登陆限制

1.png


然后抓包查看一下发现用户名和密码也全部都是明文传输的

2.png


接下来开始撞库,因为上次已经撞出了不少用户,这里也就没有再次进行大规模撞库,看到出来了一些用户就停止了

3.png


随便登陆几个看看:

6.png


5.png


4.png

漏洞证明:

rs,部分账号证明:

hajdhj	123456	2195
zwg115	7788414	2197
amimoon	630417	2199
xsgl	618823023	2201
lxwyqs	90961026	2201
ncyc	ncyc1214	2203
zhxccc	zhxvvv	2203
wlc8245	88297613	2205
bristal	55169997	2207
rongsy	love120	2209
hoyixi	kenking727	2209
smssmsa	dj3328138	2211
zengdong012	5515293	2213
yiminaaa	671011	2213
locky2	100305	2215
ycylyan	198566	2215
sfsefsf	123456	2215
xlxl96	xiao1978	2217
bugchs	269588	2217
wh7353	8318937	2217
zs948	66280110	2221
baccahatis	4inlove	2222
274713812	3465865	2223
820129	820129	2224
zcywd	wszcywd	2225
i2lily	niuwei	2225
jaicon	823456	2225
yuebikai	woaini	2226
musicmh	511323	2227
sun198757	198757	2227
zafira	123456	2227
727372034	642555	2227
qkh12345	123456	2227
koala607	22015555	2227
fantasycjy	19881207	2230
z2hero	142857	2230
412266742	65318169	2231
zzt2003	bnmmnb2003	2231
haiou3738	haiouhaiou	2231
a3220cs	2373868	2231
js34	2250866	2232
286721647	286721647	2233
280608477	jessie	2233
shilei813	5201314	2233
ukiss	931930	2233
zuoyouzhua	woshihaozi	2233
love_xuelin	1984090308	2233
yslwpl	5499180	2235
727217996	727217996	2235
weiyuanhot	wei3036429	2235
divail	JJ12297	2236
voyage1986	157844418	2236
lzs_jeff	lzsjeff	2237
wu7610890	cong528	2237
yuangbohui	13141685	2237
flyxiyue	woaini	2237
hwhcola	709394	2237
easycyan	112849	2238
xzseasky	zswlan	2238
seraphcool	1987322	2238
jenn1986	jen1986	2239
amwjcfdhd	135790	2239
a3560262	3560262	2239
574229663	13825450526	2239
kkkk3232168	866756	2241
lifengaizi	5532029	2241
pyxwyl	wanglang2l	2243
heyulovedan	heyu870701	2243
lsf7911	112022962	2243
jiangjie-n	shjshj	2245
chidanchu	850406	2245
yhb510623	510623	2245
lioncxq	19910723	2245
137878636	1333982808	2245
115579641	woshibendan00	2245
zhangqivv	wo112112	2245
biao7315858	5201314	2247
oulianfei	520520a	2247
294550353	135790	2247
misiqi008	58327448	2249
305160126	305160126	2249
guocalvin	28681888	2249
chrisswy	920215	2250
263996340	111111	2251
hyzhouj089	7758521	2251
fenxiaohuli	198345	2251
aa261315	261315	2253
thtle	26117824	2253
zwllh123	zxcvbnm	2255
www.17173	123456789	2255
ldsldsaq	730102	2256
huhuan1742	7612746	2256
z4311829	307796	2257
mobingjian	281769330	2257
jinchong0905	1989104	2259
houlei_0000	2840714	2259
mimilucky916	26606090	2260
fylirong	19851013	2265
win122082517	5201314	2267
cqlianghao	800618	2273
swy474581675	474581675	2281
xiaoxuejun1988	520520	2440
robertyang303	45678923	2442
zhuminghua123	123456	2458
lanseshuidi1984	0564335lq	2476


修复方案:

邮箱撞库无小事,赶快修复吧:)

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-12 11:30

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无