当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140456

漏洞标题:优酷视频接口撞库泄露用户账号

相关厂商:优酷

漏洞作者: just_joker

提交时间:2015-09-12 22:50

修复时间:2015-10-29 11:48

公开时间:2015-10-29 11:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-14: 厂商已经确认,细节仅向厂商公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开

简要描述:

只做测试,一小会就跑出来几十个账号,优酷的跑出来的比较多。。。。。

详细说明:

登录接口,如下

POST /user/passport/login?pid=1133275aa6ac0891&guid=c64b90248b25bab0f4e31a4269697bca&mac=04%3Ae6%3A76%3A68%3A81%3A17&imei=&ver=5.0&_t_=1441941284&e=md5&_s_=863c4c0b5fe2c2118e396f9f33e545e2&network=WIFI HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Youku HD;5.0;Android;5.0.2;N1
Content-Length: 51
Host: user-mobile.youku.com
Connection: Keep-Alive
pwd=§e4b2f910d530f6f5dd2ace593b8832f8§&uname=§45588889§


一小会,撞出来很多

youku1.png


登陆一个证明一下

youku2.png

漏洞证明:

youku1.png


登陆一个证明一下

youku2.png

修复方案:

你们专业,

版权声明:转载请注明来源 just_joker@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-09-14 11:46

厂商回复:

感谢“just_joker”的反馈!漏洞修复中!

最新状态:

暂无