当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145369

漏洞标题:PPTV一接口设计缺陷可撞库用户

相关厂商:PPTV(PPlive)

漏洞作者: 路人甲

提交时间:2015-10-08 17:17

修复时间:2015-11-23 11:50

公开时间:2015-11-23 11:50

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-08: 细节已通知厂商并且等待厂商处理中
2015-10-09: 厂商已经确认,细节仅向厂商公开
2015-10-19: 细节向核心白帽子及相关领域专家公开
2015-10-29: 细节向普通白帽子公开
2015-11-08: 细节向实习白帽子公开
2015-11-23: 细节向公众公开

简要描述:

PPTV一接口设计缺陷可撞库用户

详细说明:

http://passport.pptv.com/UI/Security/MiniLogin.aspx这个接口了,无验证码,无限制,用户名密码均明文传输,可以fuzzing

1.png


2.png


下面直接贴出部分测试成功的账户:

mask 区域
*****i303642*****
*****lywithm*****
*****90196 *****
*****690193*****
*****775852*****
*****23456 *****
*****533183*****
*****172499*****
***** 63914*****
*****ovecy08*****
*****33633 *****
*****4 1982*****
*****0303 *****
*****zy1158*****
*****23001 *****
***** gatte*****
*****232133*****
*****9860126*****
***** 34015*****
***** 77582*****
*****10 820*****
***** 1860sj*****
***** 13920*****
*****821022*****
*****66502*****
***** 10273*****
***** cheng1*****
***** 59192*****
*****hang200*****
*****198481*****
***** 77777*****
*****p10208*****
***** lichen*****
*****966139*****
*****2 2772*****
*****986092*****
***** 11111*****
*****s52131*****
*****xvvv *****
*****844466*****
*****3456 *****
***** liuch*****
*****879927*****
*****j8291*****
*****nbv7a52*****
*****180555*****
*****95952*****
*****231053*****
*****288848*****
*****0113 *****
*****30243 *****
*****661985*****
*****2152124*****
*****20926*****
*****456 1*****
*****82022*****
*****850916*****
*****87012*****
*****y43111*****
*****52689*****
*****20401*****
***** 66980*****
*****42234 *****
*****81053 *****
*****29122*****
*****injiew*****
*****engxp*****
*****hiwangs*****
*****quandi*****
*****cb89080*****
*****nghj19*****
*****18017*****
*****54789 *****
*****60524*****
*****10723 *****
*****ao woa*****
*****22700*****
*****25539 *****
*****ingyg*****
*****g wowuh*****
*****zszyaii*****
*****22231*****
***** 33107*****
*****11111*****
*****ajianhu*****
*****252268*****
*****1220 *****
*****764503*****
*****8683262*****
*****988120*****
***** yang268*****
*****41202 *****
*****198907*****
*****0jing *****
*****houtna*****
*****f1234 *****
*****10110*****
*****45582 *****
*****16891 *****
*****3456*****
*****978692*****
*****353400*****
*****23477*****
*****20622*****
*****58271*****
*****12112*****
*****733999*****
*****862486*****
*****207191*****
*****hzjj *****
*****31388 *****
*****889680*****
*****74181*****
*****z12345*****
*****owwy06*****
*****8945612*****
*****3456 *****
*****81053 *****
*****698592*****
*****987523*****
*****581123*****
*****87120*****
*****zhuan *****
*****yayay*****
*****uiyan*****
*****ys19920*****
*****andong*****
*****1986011*****
*****000822*****
*****nghj19*****
*****ddxxj *****
*****mouse2*****
*****ong528*****
*****70880 *****
*****758521*****
*****021101*****
*****i18778*****
*****40119*****
*****ianbo9*****
*****l04091*****
*****98342*****
*****ck232*****
*****05290 *****
*****203838*****
*****ahong12*****
*****1 5743*****
*****111111*****
*****8 1234*****
*****60507 *****
*****3456 *****
*****angjs *****
*****ongli*****
*****838554*****
*****0 8680*****
*****41227 *****
*****87900 *****
*****035686*****
*****58521 *****
*****791022*****
*****595142*****
*****ering *****
*****368133*****
*****loveyo*****
*****866896*****
*****586244*****
*****ao 168*****
*****00231*****
*****woaiwo*****
*****sky103*****
*****523160*****
*****98 abc*****
*****23456 *****
*****6 87111*****
*****513217*****
*****694466*****
*****52103*****
*****544593*****
*****hy6811*****
*****851013*****
*****98142*****
*****165182*****
*****985231*****
*****063094*****
*****40205 *****
*****loveyo*****
*****34356 *****
*****526713*****
*****841210*****
*****4inlov*****
*****jiashua*****
*****261062*****
*****1500189*****
*****123456*****
*****son27 *****
*****ienbo61*****
*****878884*****
*****iaoqua*****
*****790403*****
*****2 22637*****
*****beaut*****
***** 22809*****
*****nyihon*****
***** 19838*****
*****316616*****
*****qq9112*****
*****iyuan12*****
*****5031li*****
*****888888*****
*****24957 *****
*****157350*****
*****14521d*****
*****nghai*****
*****iexiaof*****
*****sdskyw*****
*****861230*****
*****304349*****
*****aotian*****
*****na 880*****
*****92288*****
***** 196604*****
*****11539*****
*****57038*****
*****55132*****
*****sugmf*****
*****nghai*****
*****aimein*****
*****ljh831*****
*****wenshun*****
*****368153*****
***** 10181*****
*****98287 *****
*****oaiwoj*****
*****1984031*****
*****yanleixi*****
*****35790 *****
*****91998*****
***** 88975*****


成功的账户主站登录证明

3.png


4.png

漏洞证明:

修复方案:

加上验证码

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-09 11:49

厂商回复:

多谢关注,已经开始修复新的接口。

最新状态:

暂无