漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-014446
漏洞标题:手机新浪网登录入口无验证码,可能遭暴力破解
相关厂商:新浪微博
漏洞作者: Dangzki
提交时间:2012-11-07 12:42
修复时间:2012-11-08 16:31
公开时间:2012-11-08 16:31
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:1
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-07: 细节已通知厂商并且等待厂商处理中
2012-11-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
手机新浪网登录入口无验证码,可能遭暴力破解
http://3g.sina.com.cn/prog/wapsite/sso/login_submit.php
详细说明:
看到有人说: WooYun: 3g飞信登录入口无验证码,可能遭暴力破解 3g飞信登录入口无验证码,可能遭暴力破解
我也打个酱油~
想到了之前登陆新浪移动微博的时候,也没有验证。
http://3g.sina.com.cn/prog/wapsite/sso/login_submit.php
漏洞证明:
没啥证明了。
修复方案:
当一个IP的登录失败率超过一定限制(例如,失败率达到80%),显示验证码,防止机器提交。
版权声明:转载请注明来源 Dangzki@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-11-08 16:31
厂商回复:
多谢,业务层有相应控制。
最新状态:
暂无