当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070340

漏洞标题:阿里巴巴某处账号设计BUG

相关厂商:阿里巴巴

漏洞作者: 路人甲

提交时间:2014-07-30 22:43

修复时间:2014-08-04 17:03

公开时间:2014-08-04 17:03

漏洞类型:账号安全

危害等级:高

自评Rank:16

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-30: 细节已通知厂商并且等待厂商处理中
2014-08-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

阿里巴巴某处账号设计BUG

详细说明:

首先我们自己先注册一个没用的阿里巴巴帐号。
接着下载旺旺。,在登录旺旺。接着选择添加好友。输入自己喜欢的帐号。如下<img

30174244f6ddd0a2f4dcb13b267b6ee6101c7f91.png


接着点击查找,当当出来的结果。看看有没有“阿里巴巴中国站的帐号”如下图

301743092f76380ce74745979280130ef5265df4.png


接着查看资料。。详细看上面图片说明哈
当点击后我们会看到跟下面图片一样的界面。同时我们也就看到了这个帐号绑定的邮箱了。如果差不多的。请继续看完文章。我会在下面提供另外一种查看方法。我们继续回到正题、、当我们知道这个帐号邮箱的时候可以去试试有没有被注册。当然在文章在演示的的帐号。是我特意找没被注册邮箱的。在这里大家肯定会有疑问。知道邮箱能干嘛。其实这个方法跟陌陌的bug一样。通过邮箱盗取帐号的。而这个方法针对阿里巴巴早期的帐号都很有用。因为可以知道邮箱。而有的邮箱有回收正确。 接着有放出来让用户申请。所以这下就是我们的福利的。废话不多说 了。我先把那个出现的邮箱注册了。

3017433019b493b452be4dbebab4f143ffaa83d0.png


当我们注册好邮箱后。先打开阿里巴巴的网站1688.com。找到帐号登录。点击忘记密码。输入帐号看图吧。

301743483daf394f2d90cbc0734f9ad1f7b8ae68.png


当选择 下一步后。选择邮箱找回,

30174403ca60913306df0ea500dfe68576a09668.png


接着想必大家都懂了吧。进入你刚刚弄的那个邮箱。

301757387e55364cc40b3b56c6b85510c71a7b2a.png


接着就可以修改密码了。。最后步骤就不说了。当然有的号在知道密码后。上线。会提示安全问题。当看到这个的时候。请放心。只要刚刚弄到的邮箱在。接收一下验证码解除一下验证就可以。这里我就不在掩饰。
就说说另外一种知道邮箱的办法
其实方法也就是通过查看这个人的阿里巴巴个人主页。接着点击查看子个人资料。
如下图。

301757587fae8b15379781119d9c12438a92a83e.png


个人主页地址me.1688.com/用户名.html (我们这里用数字的1***0来演讲,中文的和英文我都没试。因为个人我比较喜欢数字。由于我没注意到1***0原来主人注册了个性地址,所以地址此次显示的跟这里不一样。不过没关系。号码就搞到了

漏洞证明:

见上

修复方案:

你们懂得

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-04 17:03

厂商回复:

亲,该问题为邮箱放号导致的问题,并非安全漏洞,感谢您的反馈!

最新状态:

暂无