WooYun.org

故事是这样的，认识一朋友是 猫扑某版主。和我说他账号被封禁了。
我就上猫扑看了看。发现猫扑存在一处简单 又 危险巨大的BUG。
这个BUG是这样的。
http://passport.mop.com/ 在猫扑的登陆界面。随意输入一个账号，密码随意打，尝试5次以后就会提示封禁，不允许再登陆，并且不是本机IP上的限制，是确确实实不管谁登陆都是被封禁的，这点我已经让别人帮忙测试验证。
（经过和朋友的确认，这种限制是终身的，并非临时的，并且朋友和我说，他找管理解封，得到的回复是“审核都放假了 账号都不能解封”）
以上简直喜闻乐见了。
简单的描述一下就是，任意账号，随便输入任何密码 测试登陆5次，就会被永久封禁！
漏洞危害1（管理层崩溃）：
找到 猫扑 盟主，版主，高管账号，可以实现封禁，造成管理层瘫痪，此时散播不良消息无法受到及时管理。
漏洞危害2（遍历所有会员，全站封禁）：
通过个人主页：http://hi.mop.com/space/1
http://hi.mop.com/space/ +“UID”
可以实现获取所有用户的ID，批量尝试5次密码，造成全员封禁，网站用户系统彻底陷入暂时瘫痪！