当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158420

漏洞标题:美食天下某登录接口设计缺陷可撞库用户(成功帐号主站通用)

相关厂商:美食天下

漏洞作者: 路人甲

提交时间:2015-12-05 02:09

修复时间:2015-12-10 02:10

公开时间:2015-12-10 02:10

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-05: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

美食天下某登录接口设计缺陷可撞库用户(成功帐号主站通用)

详细说明:

http://home.meishichina.com/apps/163/weibo_app/ic.php?ac=login这个地方的登录位置没有登录验证限制

005.png


抓包看到用户名密码明文传输的

006.png


测试可以撞库,这里给出部分成功帐号证明:

wqi_ang	1123581321	949
thtle	26117824	949
6664576	520188	949
12345698	123456	950
zhxccc	zhxvvv	953
luoxiao94	19861004	953
6668900	6668900	953
314772339	2084977	954
4412855	4412855	955
vv168	csn740	955
asdf	asdf	955
253213249	5201314	955
514449780	198774	955
vivian_wu2008	2002816916	956
364129531	4497999	956
wanghaosp	wh112233	957
124324924	123321	957


登录主站证明:

001.png


002.png


003.png


漏洞证明:

001.png


002.png


003.png

修复方案:

验证码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-10 02:10

厂商回复:

最新状态:

暂无