漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0158537
漏洞标题:某app设计缺陷导致任意登陆商家后台(数百万用户)
相关厂商:北京邻家科技
漏洞作者: 路人甲
提交时间:2015-12-07 14:19
修复时间:2016-01-21 14:20
公开时间:2016-01-21 14:20
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
目前,邻家科技已与众多城市政府部门、国有企业、知名零售品牌、互联网公司达成了战略合作。上线仅仅两个月已吸引北京、上海、江苏、浙江、广东等20几个省市,数百名创业者加入,共同开启互联网时代的创富之旅。邻家人一直秉承让生活简单、让创业简单的理念,帮助消费者获得更高的生活品质,帮助更多胸怀梦想的人通过网络 实现创业就业。
详细说明:
http://www.daoway.cn/ app下载地址
http://www.daoway.cn/dian/#/login商家后台地址
登陆后任意选个项目,访问的时候抓包
恩,,,看图
http://api.daoway.cn/daoway/rest/service/ea807b31d68041a2859c292c9e8594bf?&lot=111&lat=112&imei=121
四位纯数字验证码的问题就不多说了。。。
我再某0手机助手下载的时候看到200万的下载了,想来几百万用户是不会少的。。
漏洞证明:
如上
修复方案:
你懂
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝