漏洞概要
关注数(24)
关注此漏洞
漏洞标题:携程某客户端接口缺陷可撞库
提交时间:2014-09-19 21:27
修复时间:2014-11-08 22:40
公开时间:2014-11-08 22:40
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-09-19: 该漏洞正等待厂商内部评估
2014-09-19: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2014-10-09: 细节向核心白帽子及相关领域专家公开
2014-10-19: 细节向普通白帽子公开
2014-10-29: 细节向实习白帽子公开
2014-11-08: 细节向公众公开
简要描述:
大量用户密码可被猜解
详细说明:
问题APP:爱玩高尔夫
登陆接口未验证可进行撞库攻击,导致大量用户密码泄露。
登陆时电脑抓包:
使用互联网泄露的大量用户数据进行测试
仅测试一部分数据,成功率非常之高。
漏洞证明:
贴一部分数据
随机登陆下
修复方案:
对登录接口进行限制吧!
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-09-19 22:39
厂商回复:
漏洞已确认真实存在,并已安排人处理。
最新状态:
暂无