当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146247

漏洞标题:好孩子育儿网主站接口设计缺陷可导致撞库攻击(备孕妈妈你的信息侧漏啦)

相关厂商:好孩子育儿网

漏洞作者: 路人甲

提交时间:2015-10-13 09:51

修复时间:2015-12-01 13:20

公开时间:2015-12-01 13:20

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-13: 细节已通知厂商并且等待厂商处理中
2015-10-17: 厂商已经确认,细节仅向厂商公开
2015-10-27: 细节向核心白帽子及相关领域专家公开
2015-11-06: 细节向普通白帽子公开
2015-11-16: 细节向实习白帽子公开
2015-12-01: 细节向公众公开

简要描述:

好孩子育儿网主站接口设计缺陷可导致撞库攻击(备孕妈妈你的信息侧漏啦!)

详细说明:

http://user.goodbaby.com主站登录接口无验证码无限制用户名和密码都是明文传输的

1.jpg


然后测试撞库,判断回显应该是可以的,这里直接贴出部分成功帐号证明了:

mask 区域
*****m	12345*****
*****m 198711*****
*****23456 *****
*****23456 *****
*****m 123456*****
*****com 510*****
*****23456 *****
*****23456 *****
*****com 910*****
*****m 198810*****
***** ting4ev*****
*****com 769*****
*****23456 *****
*****m 199012*****
*****m hezhen*****
*****om 1452*****
***** 12345*****
***** 8199281*****
*****com 894*****
*****om 1226*****
*****123456*****
*****com 198*****
*****m 622972*****
*****m 137513*****
*****com 198*****
*****23456 *****
*****om 2784*****
*****23456 *****
*****23456 *****
*****123456*****
*****123456*****
*****m 1234*****
*****om 123*****
*****om 1233*****
*****m 376823*****
*****m 280582*****
***** 83112*****
*****123456*****
*****123456*****
*****m 1234*****
*****m 85090*****
*****123456*****
*****.com wen*****
*****m li8706*****
*****m 1234*****
*****m 1234*****
*****baggiomao*****
*****123456*****
*****m 231403*****
*****m 1234*****
*****com 218*****
*****m 1234*****
*****om pmcs*****
*****om 12345*****
***** tianxia*****
*****om 3586*****
*****com 791*****
*****123456*****
***** 213498*****
*****com 121*****
*****m 1234*****
*****m 1234*****
*****om 1945*****
*****m 9b9s9d*****
*****om 1987*****
*****m xiaoch*****
*****m 1q2ws3*****
*****m 912023*****
*****m 123456*****
*****11111 *****
*****m 12345*****
*****m 123456*****
*****om 8289*****
*****m 993282*****
*****m 123456*****
*****com dai*****
*****5110150*****
*****m 123456*****
*****m 123456*****
*****om 19841*****
*****m l19900*****
*****m 123456*****
*****com 123*****
*****m 123456*****
*****m 123456*****
*****m 63041*****
*****.com 30*****
*****.com 52*****
*****.com 12*****
*****com 283*****
*****om 1985*****
*****com 121*****
*****m 198406*****
*****com 791*****
*****om 51877*****
*****m 199201*****
*****m 13145*****
*****com 775*****
*****com sec*****
*****com 880*****
*****com 521*****
***** congcon*****
*****om 8562*****
*****om 1983*****
*****om 9159*****
*****com 135*****
*****123456*****
*****om 2736*****
*****m 87755*****
*****m 52013*****
*****m 52013*****
*****m weiyi2*****
*****om 11111*****
*****com 841*****
***** ww5268*****
*****[email protected] *****
*****m 198510*****
*****m 198512*****
*****m 12345*****
*****m laji1h*****
*****om 1016*****
*****m caon*****
*****om 4077*****
*****om 8045*****
*****m 12345*****
*****com 352*****
*****om 213*****
*****com 820*****
*****m woshi*****
*****com 811*****
*****m 11111*****
*****m 12345*****
*****om 8190*****
*****om 2131*****
*****m laopon*****
*****com 830*****
*****m 134034*****
*****m 276468*****
*****com 771*****
*****com 815*****
*****m 443352*****
*****m 47252*****
*****om 8205*****
***** 12345*****
*****com naji*****
*****m 112211*****
*****om nan*****
*****m 1111*****
*****om hyde*****
*****om 8509*****
*****m woaini*****
*****m 12378*****
*****m 327798*****
*****com 771*****
*****om 1234*****


然后登录测试看看,发现信息泄漏还是比较严重的:

2.png

漏洞证明:

修复方案:

加上验证码

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-17 13:19

厂商回复:

感谢持续关注好孩子安全事业。

最新状态:

暂无