当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0160237

漏洞标题:应届生求职网某接口设计缺陷可撞库,登录可查看用户邀请函,简历等

相关厂商:应届生求职网

漏洞作者: 路人甲

提交时间:2015-12-11 10:49

修复时间:2015-12-16 10:50

公开时间:2015-12-16 10:50

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-11: 细节已通知厂商并且等待厂商处理中
2015-12-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

应届生求职网某接口设计缺陷可查看用户邀请函,简历等

详细说明:

http://k.yingjiesheng.com/center/这个地方没有验证码没有登录限制

1.png


抓包发现用户名密码都是明文传输的,然后测试撞库用户,这里直接贴出部分成功账号证明:

lyhf2001	1983515	6157
85586231 3881600 6159
250228062 woshiyaya 6159
mmiss 110110 6159
412290488 13953850220 6159
jizhan313 wstyf313 6159
490020371 851213 6161
176038032 wangmeie 6161
271735304 12061991 6161
luofangyi 6625012 6165
13475780 8218947 6165
592775248 592775248 6167
shijiaxin13 3401582 6167
393179033 7322578 6169
478141313 1236436186 6169
tk7903294 7903294 6169
lin272975660 linxiongpin 6171
lixiang1722 15870014036 6171
janesheng jane880812 6171


然后登陆成功账号,账号信息泄露蛮严重的哈~

5.png


6.png

漏洞证明:

http://k.yingjiesheng.com/center/这个地方没有验证码没有登录限制

1.png


抓包发现用户名密码都是明文传输的,然后测试撞库用户,这里直接贴出部分成功账号证明:

lyhf2001	1983515	6157
85586231 3881600 6159
250228062 woshiyaya 6159
mmiss 110110 6159
412290488 13953850220 6159
jizhan313 wstyf313 6159
490020371 851213 6161
176038032 wangmeie 6161
271735304 12061991 6161
luofangyi 6625012 6165
13475780 8218947 6165
592775248 592775248 6167
shijiaxin13 3401582 6167
393179033 7322578 6169
478141313 1236436186 6169
tk7903294 7903294 6169
lin272975660 linxiongpin 6171
lixiang1722 15870014036 6171
janesheng jane880812 6171


然后登陆成功账号,账号信息泄露蛮严重的哈~

5.png


6.png

修复方案:

验证码

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-16 10:50

厂商回复:

最新状态:

暂无