当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0124382

漏洞标题:虎扑体育某分站官网后台权限设计不当漏洞

相关厂商:虎扑体育网

漏洞作者: 程序喵

提交时间:2015-07-04 21:46

修复时间:2015-08-20 10:16

公开时间:2015-08-20 10:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-04: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-16: 细节向核心白帽子及相关领域专家公开
2015-07-26: 细节向普通白帽子公开
2015-08-05: 细节向实习白帽子公开
2015-08-20: 细节向公众公开

简要描述:

2333333

详细说明:

虎扑开发的拜仁慕尼黑足球俱乐部中国官网,后台权限设计不当导致任意注册用户可获取最高权限
虎扑开发的拜仁慕尼黑足球俱乐部中国官网 http://www.fcbayern.cn/
试出来后台登陆地址为 http://www.fcbayern.cn/admin
会跳转到http://www.fcbayern.cn/auth/login
点击右上角的注册,会跳到注册页面

1111.jpg


然后随便注册一个账号,即可行驶后台的管理员权限,对前台进行任意操作

漏洞证明:

2222.jpg


这是注册后,再进入http://www.fcbayern.cn/admin 后 就能看到的后台管理界面

修复方案:

关闭注册接口即可。
另外,虎扑的仙儿们,我是一个喜欢踢球的PHPer,哎,早就听说虎扑工作的每周都能踢比赛,也知道你们招PHP,可惜远在上海,哎,难道这辈子就无缘共事了吗。。
另外,虎扑啊你们网站现在特别慢,有时候访问个网页特别卡,,你们服务器架构咋搭的啊,不给力啊。。
你们这个漏洞啊,我什么也没做,就是友情帮你们检测一下,要不是为了乌云的邀请码,我就直接联系虎扑管理员了。

版权声明:转载请注明来源 程序喵@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-07-06 10:14

厂商回复:

感谢。
子站还是太杂了。

最新状态:

暂无