漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0143949
漏洞标题:金名网名下验证码设计不当可任意找回密码(爆破)
相关厂商:金名网
漏洞作者: 邪少
提交时间:2015-09-28 19:25
修复时间:2015-10-12 04:26
公开时间:2015-10-12 04:26
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-28: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
金名网名下可找回密码
详细说明:
4.cn 金名网名下 有一站点叫 什么来着 域名dn.com
起初 前几天把 是有一个朋友 他玩域名的 和别人正在交易域名
等他睡觉的时候 说是 dn.com发了很多的验证码给他 帐号都被盗了
幸好那钱马上被冻结了 朋友叫我看看是不是有什么漏洞(因为他密码设置的很严格)社工几率不大
-------------------------------------------------------------------
打开dn.com 一看是 一个中介交易平台
先注册一个帐号先 然后退出
找回密码的时候 发现验证码 可无限输入多次
虽然是https的 但是还是难不倒burpsuite 爆破
漏洞证明:
修复方案:
验证码只让输入三遍
听说 金名网 是俺门 乌云的小粉丝
版权声明:转载请注明来源 邪少@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-12 04:26
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无