当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098042

漏洞标题:883玩身份认证设计不当漏洞小礼包(信息过于详细)

相关厂商:883wan.com

漏洞作者: 花心h

提交时间:2015-02-25 11:57

修复时间:2015-04-13 16:58

公开时间:2015-04-13 16:58

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-25: 细节已通知厂商并且等待厂商处理中
2015-02-26: 厂商已经确认,细节仅向厂商公开
2015-03-08: 细节向核心白帽子及相关领域专家公开
2015-03-18: 细节向普通白帽子公开
2015-03-28: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

新年快乐恭喜发财

详细说明:

从入口点开始说吧
入口点没有设置有效验证,导致可爆破用户
在登陆成功的时候,又泄露了用户信息,看图。
泄露了用户邮箱,用户ID,用户名,用户登陆游戏和上次登陆账号的IP,VIP等级,玩了什么游戏。游戏Id等等等等。为啥密码也在里面?

5.png


部分成功用户:

mimi	123456
ADMIN	123456
lucky	123456
TEST	123456
test	123456
abcdefg	123456
chai	123456
alee	123456
wade	123456
gange	123456
wana	123456
henke	123456
wocaonima	123456
sone	123456
ziyang	123456
annia	123456
cheney	123456
angela	123456
ment	123456
bage	123456
loves	123456
haine	123456
klima	123456
binge	123456
shit	123456
thanks	123456
some	123456
amani	123456
rachel	123456
word	123456
anan	123456
sheng	123456
aiaa	123456
moran	123456
tianya	123456
wwwwww	123456
moon	123456
hallo	123456
fist	123456
swang	123456
wayao	123456
wind	123456
word	123456
meier	123456
susu	123456
guige	123456
moca	123456
dasd	123456
leng	123456


我们用之前的 天地不仁 以万物为刍狗大牛的测试账号
wooyun 1234567
在信息中,存在储存XSS。
利用方式:

"><script>alert(document.cookie)</script>
3.png


效果如下图:

1.png


存在于:

2.png


没了。新年快乐~

漏洞证明:

5.png


1.png

修复方案:

你们比我专业。。

版权声明:转载请注明来源 花心h@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-02-26 09:46

厂商回复:

已隐藏。谢谢提醒

最新状态:

暂无