当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140712

漏洞标题:酷开主站撞库(可消费他人积分兑换实物商品)

相关厂商:深圳市酷开网络科技有限公司

漏洞作者: hecate

提交时间:2015-09-13 23:30

修复时间:2015-10-29 08:32

公开时间:2015-10-29 08:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-13: 细节已通知厂商并且等待厂商处理中
2015-09-14: 厂商已经确认,细节仅向厂商公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开

简要描述:

酷开主站可撞库

详细说明:

地址https://passport.coocaa.com/html2/login.html
虽然限制了密码错误次数为20次,但是可以固定密码,对用户名进行fuzzing,过程中并无验证码和ip限制
这里爬取酷开论坛10000个用户名测试,得到以下弱口令用户

fuzzer1.png


fuzzer2.png


fuzzer3.png


fuzzer4.png


fuzzer5.png


漏洞证明:

登录几个试试

meitu_4.jpg


订单

Screenshot - 2015年09月12日 - 12时59分38秒.png


meitu_1.jpg


积分可兑换实物

meitu_2.jpg

修复方案:

增加验证码和ip限制

版权声明:转载请注明来源 hecate@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-14 08:30

厂商回复:

谢谢。马上跟进处理!

最新状态:

暂无