当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140718

漏洞标题:酷狗音乐某处设计不当可撞库用户(成功账号证明)

相关厂商:酷狗

漏洞作者: 路人甲

提交时间:2015-09-13 09:26

修复时间:2015-09-18 09:28

公开时间:2015-09-18 09:28

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-13: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

酷狗音乐某处设计不当可撞库用户(成功账号证明)

详细说明:

http://5sing.kugou.com/m/login.html
这个登录接口是酷狗中国原创音乐基地登录的一个接口,接口位置没有做任何登录验证机制

1.png


抓包发现用户名和密码都是明文传输的

2.png


然后查看撞库回显

3.png


4.png


部分成功账号证明:

lonefa	2632709	1155
li790622	790622	1155
aiutef	5290430	1155
xksead	34303521x	1155
lhplee	lhp875484	1155
huzh333	87812264	1156
mfk2326	23262852326	1156
chiru84	4931341	1156
raphair	david7	1156
libaing	asdfqwer	1156
lyn0927	83699888	1156
vkbshfm	43674213	1156
game3108	jason27	1157
zzwangzi	826323	1157
fupengpow	857210	1157
terryjyx	19931121	1157
janysohu	2347599	1157
comafish	punk55555	1157
oiuy4503	yujiahong123	1157
qscwdv32	1wnzhua	1157
plpop1991	plpop1991	1158
espshmily	313492251	1158
kingboar2	boar2nd	1158
xinlaoda7	19880825	1158
yinhaotian	25257758	1159
wos47qwudi	19880616	1160
anheiguinu	322985	1160
anheiguinu	322985	1160
leogongyun	900913	1160
jy02381508	qwe123	1160
adrian8819	xihuanni12	1160
mengbin0615	6348689	1161
kldwcdwc	klsqxsqx	1161
xiaofeng1127	830515	1162
gaoweijie617	8709245718	1162
ming313422309	ming1314	1163
lanseshuidi1984	0564335lq	1164
qwy2003	200498	1167
death774	death774	1168
angeldrc	85213868	1169
liufan760606	1278724801	1177
nanhe20077	421501033	1178
yonggang100	2288861	1187
szq123	123456	1190
w910621	w19910622	1191
bt2043	wxhzjj	1191


测试登录撞库用户成功登录:

5.png


6.png

漏洞证明:

http://5sing.kugou.com/m/login.html
这个登录接口是酷狗中国原创音乐基地登录的一个接口,接口位置没有做任何登录验证机制

1.png


抓包发现用户名和密码都是明文传输的

2.png


然后查看撞库回显

3.png


4.png


部分成功账号证明:

lonefa	2632709	1155
li790622	790622	1155
aiutef	5290430	1155
xksead	34303521x	1155
lhplee	lhp875484	1155
huzh333	87812264	1156
mfk2326	23262852326	1156
chiru84	4931341	1156
raphair	david7	1156
libaing	asdfqwer	1156
lyn0927	83699888	1156
vkbshfm	43674213	1156
game3108	jason27	1157
zzwangzi	826323	1157
fupengpow	857210	1157
terryjyx	19931121	1157
janysohu	2347599	1157
comafish	punk55555	1157
oiuy4503	yujiahong123	1157
qscwdv32	1wnzhua	1157
plpop1991	plpop1991	1158
espshmily	313492251	1158
kingboar2	boar2nd	1158
xinlaoda7	19880825	1158
yinhaotian	25257758	1159
wos47qwudi	19880616	1160
anheiguinu	322985	1160
anheiguinu	322985	1160
leogongyun	900913	1160
jy02381508	qwe123	1160
adrian8819	xihuanni12	1160
mengbin0615	6348689	1161
kldwcdwc	klsqxsqx	1161
xiaofeng1127	830515	1162
gaoweijie617	8709245718	1162
ming313422309	ming1314	1163
lanseshuidi1984	0564335lq	1164
qwy2003	200498	1167
death774	death774	1168
angeldrc	85213868	1169
liufan760606	1278724801	1177
nanhe20077	421501033	1178
yonggang100	2288861	1187
szq123	123456	1190
w910621	w19910622	1191
bt2043	wxhzjj	1191


测试登录撞库用户成功登录:

5.png


6.png

修复方案:

发放20rank

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-18 09:28

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无