漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0151136
漏洞标题:爱回收某处存在设计逻辑缺陷
相关厂商:爱回收网
漏洞作者: 路人甲
提交时间:2015-11-02 16:12
修复时间:2015-12-17 16:14
公开时间:2015-12-17 16:14
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
http://www.aihuishou.com/home/Intro.html
2011 爱回收网成立
2012 获200万美金A轮投资
2014 获千万级美金B轮投资
2014 获6000万美金C轮投资
详细说明:
爱回收用户订单中心可通过手机号遍历所有用户,直接进入用户中心
抓包,得到POST体为:
mobile=13000000469&captcha=111111
burpsuite遍历mobile字段,跑出用户,进入用户中心
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝