漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141956
漏洞标题:58同城大量敏感信息可被泄露之二(可影响内部系统)
相关厂商:58同城
漏洞作者: 残冰
提交时间:2015-09-18 14:59
修复时间:2015-11-02 22:04
公开时间:2015-11-02 22:04
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-18: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开
简要描述:
我又来支持司马了~~~~~ 司马这次有小礼物没??? 有闪电没?
详细说明:
大家都懂的技能,然后登陆已下邮箱
wangnan-sy 密码问司马 王楠
wangwei02-sz 密码问司马 王玮
majun-sz 密码问司马 马军
wuzhixue-sz 密码问司马 吴志学
mabenshuai-sy 密码问司马 马本帅
wanghui01-cd 密码问司马 王辉
上图:
时常要发邮件提醒修改密码,然并卵
看到这个我想搬台机器到58的公司附近,直接撸内网
好像每个用户修改账号的密码,都会邮件通知到这个账号上,所以导致招聘客户信息泄露:
其它:
58的CRM系统密码重置功能,可以直接使用邮箱重置,测试结果如下: 24万,比较多的的商户信息
不知道怎么回事,好像58的基础认证在这里失效了
无处不在的姚总~~~
漏洞证明:
已证明
修复方案:
最近司马很忙~~~~~~~~~~
版权声明:转载请注明来源 残冰@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-09-18 22:02
厂商回复:
还是那一个系统的问题,导致被渗透了……
第三方开放的系统真是很奇葩,不过我们业务方小伙伴也是狗了……
最新状态:
暂无