门户网站安全之前瞻网存在重大设计缺陷影响任意用户

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0127016

漏洞标题：门户网站安全之前瞻网存在重大设计缺陷影响任意用户

漏洞作者：路人甲

提交时间：2015-07-17 07:24

修复时间：2015-08-31 07:26

公开时间：2015-08-31 07:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-17：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-08-31：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

前瞻网是中国快速崛起的中文综合门户网站，提供财经、军事、社会、时政、娱乐等全方位的综合新闻资讯。前瞻网秉承“发现趋势预见未来”的品牌理念。一贯坚持“对热点新闻事件进行前瞻性解读”的风格，专注用户的阅读需求和体验，为国内外用户提供高端、多元、实用的新闻资讯和独到评论。

详细说明：

在找回密码处存在设计缺陷，在最后一步密码重置提交时将我们的手机号替换为他人手机号即可重置他人账户密码。

漏洞证明：

登陆验证：

危害这么大，来个小礼物可好？

修复方案：

作好服务器绑定校验

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0127016

漏洞标题：门户网站安全之前瞻网存在重大设计缺陷影响任意用户

相关厂商：前瞻网

漏洞作者：路人甲

提交时间：2015-07-17 07:24

修复时间：2015-08-31 07:26

公开时间：2015-08-31 07:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0127016

漏洞标题：门户网站安全之前瞻网存在重大设计缺陷影响任意用户

相关厂商：前瞻网

漏洞作者： 路人甲

提交时间：2015-07-17 07:24

修复时间：2015-08-31 07:26

公开时间：2015-08-31 07:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0127016"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云