当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094479

漏洞标题:某定位服务网站用户验证有问题

相关厂商:爱家定位

漏洞作者: 路人甲

提交时间:2015-01-29 14:45

修复时间:2015-03-15 14:46

公开时间:2015-03-15 14:46

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

该网站应用为显示成员当前位置,该网站对用户的验证有错误,造成其他人可以通过一定途径登录,并在登录后修改用户信息。更严重的:这是个显示位置的应用,也就代表着你可以任意看到使用该应用的用户的具体位置。

详细说明:

该网站aijiadw.com作为定位服务提供商,但在进行登录时却不用验证密码。
注册一个账号,然后输入直接点确认,无需密码,可以登录,还可以修改密码等等。
但如果你输错密码则无法登录。

漏洞证明:

登录该网站aijiadw.com,正常注册。该网站用手机注册。
注册后,在首页选择登录,输入手机号(群号),无需密码直接回车键或点登录

1.jpg


然后你会发现,你成功登录了……无需密码,直接登录。然后开始暴露你的行踪……

2.jpg


而且你还可以登录到修改里,修改掉用户的群组,密码等信息……

3.jpg


当然,如果你输入一个错误的密码,则无法登录!

修复方案:

让他们的技术人员去思考如何修复吧,这不是个难题!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝