当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116790

漏洞标题:求恋爱交友应用数据库未授权访问导致大量数据泄漏(账号密码等信息)

相关厂商:求恋爱

漏洞作者: 路人甲

提交时间:2015-05-29 18:26

修复时间:2015-07-13 18:28

公开时间:2015-07-13 18:28

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

是否用手机逛QQ空间的时候,看见各种“找女朋友的”APP,可是当你手贱下载了,你会发现到处都是坑.

详细说明:

为什么说是坑呢,请看:

http://www.110.com/ask/question-3187559.html
http://xingqu.baidu.com/p/3549102984


本来我只是在空间看见然后顺手测试一下站的。
看见这两个帖子,我还是决定下载应用一探究竟

01.jpg


一进来就有很多妹子私信、关注你,问你是否聊一下之类的(其实都是机器人)
你可以回一句,但是继续聊天就是收费的了。
关于这是否涉及诈骗以及法律相关的,就和本人无关了。
扫了一会,发现存在redis未授权访问:

m.qiulianai.cn	      121.43.76.115	浙江省杭州市阿里云BGP数据中心
www.qiulianai.cn	121.40.3.121	浙江省杭州市阿里云BGP数据中心
pay.qiulianai.cn	42.121.252.248	浙江省杭州市阿里云BGP数据中心
test.qiulianai.cn	120.26.46.162	北京市北京新比林通信技术有限公司
touch.qiulianai.cn	121.43.76.115	浙江省杭州市阿里云BGP数据中心


未授权访问:120.26.46.162
直接用redis客户端连接即可:

02.jpg


03.jpg


04.jpg


看数据量,似乎是上百万,但有多少用户就不知道了,对redis不熟悉,不过此应用在市场里,的确下载量上百万。
从数据内容来看,是用户资料,car_member":false,"这一项说明是没车..

06.jpg


未深入下去。
不过利用屌丝的弱点来坑钱这种行为我还是深深的鄙视..

漏洞证明:

..

修复方案:

..

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)