酷我游戏登陆位置设计不当可撞库用户

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0135294

漏洞标题：酷我游戏登陆位置设计不当可撞库用户

漏洞作者：路人甲

提交时间：2015-08-19 14:39

修复时间：2015-10-03 15:22

公开时间：2015-10-03 15:22

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-19：细节已通知厂商并且等待厂商处理中
2015-08-19：厂商已经确认，细节仅向厂商公开
2015-08-29：细节向核心白帽子及相关领域专家公开
2015-09-08：细节向普通白帽子公开
2015-09-18：细节向实习白帽子公开
2015-10-03：细节向公众公开

简要描述：

酷我游戏登陆位置设计不当可撞库用户

详细说明：

http://game.kuwo.cn/g/st/NewerIndex_2014这里，登陆位置没有验证码验证的机制

然后抓包查看发现用户名和密码是明文传输的

接下来测试撞库用户判断回显应该是可以成功撞库的

撞库出来的部分账号证明：

tsf626	6263150906	921
pan604	3702286	921
tsf626	6263150906	921
baoliqi	891026	921
kingxd	lixiaodong	921
yf83528	yf19830708	921
h2ooh	z0z0z0	921
wh7353	8318937	922
idwsljq	ssugesad	922
gz1098d	gz1098d902	922
zwg115	7788414	922
zsp6126	48776126	922
zzt2003	bnmmnb2003	922
gzwenzi	160192779	922
janeran	198311	922
hlj0520	26545493	922
wucf101	6227008	922
kuhooid	admin123456	923
jgy1987	123456	923
fanzhai	fanzhai	923
lyhf2001	1983515	923
haibo72	1294468	924
jerryl60	825031liu	924
smssmsa	dj3328138	924
jshan34	22201590	924
fanzhai	fanzhai	924

然后登陆测试看看成功咯

漏洞证明：

http://game.kuwo.cn/g/st/NewerIndex_2014这里，登陆位置没有验证码验证的机制

然后抓包查看发现用户名和密码是明文传输的

接下来测试撞库用户判断回显应该是可以成功撞库的

撞库出来的部分账号证明：

tsf626	6263150906	921
pan604	3702286	921
tsf626	6263150906	921
baoliqi	891026	921
kingxd	lixiaodong	921
yf83528	yf19830708	921
h2ooh	z0z0z0	921
wh7353	8318937	922
idwsljq	ssugesad	922
gz1098d	gz1098d902	922
zwg115	7788414	922
zsp6126	48776126	922
zzt2003	bnmmnb2003	922
gzwenzi	160192779	922
janeran	198311	922
hlj0520	26545493	922
wucf101	6227008	922
kuhooid	admin123456	923
jgy1987	123456	923
fanzhai	fanzhai	923
lyhf2001	1983515	923
haibo72	1294468	924
jerryl60	825031liu	924
smssmsa	dj3328138	924
jshan34	22201590	924
fanzhai	fanzhai	924

然后登陆测试看看成功咯

修复方案：

加上验证码

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2015-08-19 15:20

厂商回复：

感谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0135294

漏洞标题：酷我游戏登陆位置设计不当可撞库用户

相关厂商：酷我音乐

漏洞作者：路人甲

提交时间：2015-08-19 14:39

修复时间：2015-10-03 15:22

公开时间：2015-10-03 15:22

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0135294

漏洞标题：酷我游戏登陆位置设计不当可撞库用户

相关厂商：酷我音乐

漏洞作者： 路人甲

提交时间：2015-08-19 14:39

修复时间：2015-10-03 15:22

公开时间：2015-10-03 15:22

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0135294"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云