当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019269

漏洞标题:【人的漏洞】591结婚网域名可被劫持案例

相关厂商:上海热忱网络

漏洞作者: Hxai11

提交时间:2013-02-27 14:16

修复时间:2013-03-04 14:16

公开时间:2013-03-04 14:16

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-27: 细节已通知厂商并且等待厂商处理中
2013-03-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

591结婚网域名劫持

详细说明:

首先,确定591wed的 whois,我们看看

1.png


我们打开whois.paycenter.com.cn

2.png


哈哈,新网的。。
现在我们可以确认为是新网的了,剩下的我们查找邮箱的相关信息,最后得到密码

3.png


得到了密码,激动,剩下的我们只需登录新网即可,可是,新网又是不允许邮箱登录,只允许用户名登录,该怎么办呢,我们试试看看163邮箱是否可以登录,如果可以,那就代表,我们可以找回密码功能

4.png


ok,163邮箱登陆成功,看到好多591结婚网的信息,剩下我们直接找回密码即可,但是找回密码需要配合账号名来,可是我又不知道账号,其实这个问题很容易解决,我们直接打电话到客服就可以问出账号名了,这里就不演示了,按照常理来说是可以劫持到的。

5.png


漏洞证明:

修复方案:

管理员安全意识

版权声明:转载请注明来源 Hxai11@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-04 14:16

厂商回复:

最新状态:

暂无