当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151774

漏洞标题:游族网络某系统设计缺陷导致大量敏感信息泄露(玩家信息/服务列表/集群列表/版本更新控制)

相关厂商:上海游族网络股份有限公司

漏洞作者: Ysql404

提交时间:2015-11-04 15:22

修复时间:2015-12-19 15:44

公开时间:2015-12-19 15:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-04: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经确认,细节仅向厂商公开
2015-11-14: 细节向核心白帽子及相关领域专家公开
2015-11-24: 细节向普通白帽子公开
2015-12-04: 细节向实习白帽子公开
2015-12-19: 细节向公众公开

简要描述:

游族网络某系统设计缺陷导致管理用户、部门、玩家信息、服务列表、集群列表、联运商等信息泄露,可任意更新、替换游戏版本等。
没有礼物了,给20rank吧

详细说明:

站点:http://gm.ns.youzu.com/ 影响女神联盟手游及系统配置、运营、报表数据等
主要有2个问题:
1 是登录提示信息太明确,导致可以先获取存在的用户名,然后在破解密码;
2 是验证码设计缺陷,导致可以重复使用;
通过破解获得了超级管理员账户 leiyu/leiyu123 下面上图已证明影响;

QQ图片20151104132401.jpg


所有联运商、区服信息

QQ图片20151104135112.png


QQ图片20151104135149.png


QQ图片20151104135311.png


用户、部门、菜单配置、参数配置等信息

QQ图片20151104135411.jpg


QQ图片20151104135459.jpg


QQ图片20151104135533.jpg


QQ图片20151104135533.jpg


QQ图片20151104135602.png


平台、联运商等信息,操作权限比较大

QQ图片20151104135709.jpg


QQ图片20151104135748.png


QQ图片20151104141935.png

漏洞证明:

后台查询比较慢,部分相关数据没有做查询,只做截图证明;

QQ图片20151104142155.png

QQ图片20151104142221.png

QQ图片20151104142246.jpg


QQ图片20151104142315.png


QQ图片20151104143240.png


QQ图片20151104143309.jpg


QQ图片20151104143330.png


QQ图片20151104143402.png

修复方案:

1、修改提示信息,做模糊处理;
2、验证码使用一次后做失效处理;
3、杜绝弱口令。
测试过程中新增了2个用户youzu、youzu1都已删除,未对数据做删除、修改、下载等,可查看日志;
截图这么不容易20rank 可否 :)

版权声明:转载请注明来源 Ysql404@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-11-04 15:42

厂商回复:

非常感谢关注游族安全。

最新状态:

暂无