漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0155106
漏洞标题:东方头条任意号码可免接受验证码获取短信验证码可找回注册账号
相关厂商:东方头条APP
漏洞作者: 路人甲DREAM
提交时间:2015-11-23 17:45
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:6
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
可以对任意手机号免接收短信验证码 获取短信验证码, 可以免接收验证码随意找回/注册手机账号 , 存在积分账户可以兑换支X宝现金,话费流量等。
详细说明:
1,通过post显示是否已注册,可以判断手机号是否注册。
2,通过post返回文本中可以直接获取到验证码,免手机号码接收,然后注册。
3,已经注册成功,登陆到账户内。
4,通过步骤1,也可以对已注册的号码进行找回。
5,找回重置密码
6,通过验证码完成修改重置密码更新成功。
以下是借助软件完成原理达成扫号并重置密码功能。
通过步骤1 判断号码是否注册
存在注册,找回密码
商城有积分 可以兑换各种奖品。至于更多我就不多说了。
第一次提交,有些规矩不知道,只求邀请码。 没什么技术含量 ,漏洞说大不大,说小不小。
漏洞证明:
修复方案:
验证码获取加强!
版权声明:转载请注明来源 路人甲DREAM@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝