优酷某后台逻辑问题导致内部员工信息部分泄漏(还可撞库)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082888

漏洞标题：优酷某后台逻辑问题导致内部员工信息部分泄漏(还可撞库)

漏洞作者：子非海绵宝宝

提交时间：2014-11-11 16:52

修复时间：2014-12-26 16:54

公开时间：2014-12-26 16:54

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-11-11：细节已通知厂商并且等待厂商处理中
2014-11-11：厂商已经确认，细节仅向厂商公开
2014-11-21：细节向核心白帽子及相关领域专家公开
2014-12-01：细节向普通白帽子公开
2014-12-11：细节向实习白帽子公开
2014-12-26：细节向公众公开

简要描述：

详细说明：

问题出在MCenter登录验证系统
通过员工的手机邮箱帐号来发送密码只手机或者邮箱
但是问题就来了
这个接口没有做验证,可以加进行撞库测试帐号并且可以在成功提交后得知帐号邮箱手机对应的员工名字手机部分信息和完整优酷邮箱

漏洞证明：

mask 区域

*****anghao@youku.co*****
*****hejie@youku.c*****
*****nglin@youku.com*****
*****9	jcheng@tudo*****
*****henchao@youku.c*****
*****idong@youku.co*****
*****iling@youku.co*****
*****ngwei@xian.youku.*****
*****	haofeng@youku*****
*****angyang85@youku*****
*****eng@youku.com	y*****
*****zengsiyu@youku.c*****
*****ngyue01@xian.you*****
*****e@youku.com	sham*****
*****nghui@xian.youku*****
*****ian@youku.com	tia*****
*****uchao@xian.youku*****
*****ing01@xian.youku.*****
*****weiwang@tudou.*****
*****ngjun@youku.com	*****
*****xian.youku.com	de*****
*****ngbin@youku.com*****
*****ing@xian.youku.com*****
*****i@xian.youku.com	x*****
*****aohui@tudou.com*****
*****n@xian.youku.com	w*****
*****ang@tudou.com	*****
*****anglikun@youku.co*****
*****kun@xian.youku.*****
*****lin@youku.com	wa*****
*****gchen@tudou.com	*****
*****ong@youku.com	l*****
*****yan@youku.com	s*****
*****ngjie@youku.com	*****
*****o@tudou.com	lanf*****
*****e@youku.com	lov*****
*****gbo@tudou.com	c*****
*****ngrui@xian.youku.*****
*****usijia@youku.com*****
*****angchen@tudou.c*****
*****fan@youku.com	E*****
*****hangyy@tudou.co*****
*****youku.com	love*****
*****ng.wu@youku.com*****
*****jie@youku.com	*****
*****wei@youku.com	c*****
*****i@youku.com	se*****
*****n89@youku.com	ab*****
*****e@youku.com	das*****
*****unlei@xian.youk*****
*****ujing01@xian.you*****
*****gxu@youku.com	zh*****
*****o@youku.com	lcja*****
*****ang@youku.com	m*****
*****wangwen@xian.yo*****
*****ngjin@youku.com*****
*****ngqiang@xian.youk*****
*****n@xian.youku.com*****
*****gyu@youku.com	s*****
*****i@youku.com	rich*****
*****u@youku.com	hell*****
*****2096840602@qq.c*****
*****nghong53719@tom.co*****
*****gbo@youku.com	b*****
*****ngqiang@xian.youk*****
*****ngjie@youku.com*****
*****ngyao@youku.com	*****
*****.li@youku.com	lm*****
*****ang@youku.com	l*****
*****yan@youku.com	r*****
*****min@xian.youku.com*****
*****g@xian.youku.com	ma*****
*****hangyuwei@youku.co*****
*****ngxin@youku.com*****
*****jie@youku.com	la*****
*****95201@qq.com	li*****
*****lixiaoqi@youku.c*****
*****g@xian.youku.com	m*****
*****e@youku.com	dd*****
*****xin@youku.com	xi*****
*****@xian.youku.com	aa*****
*****i@xian.youku.com*****
*****eng@youku.com	m*****
*****g@youku.com	wozh*****
*****hangguoqiang@youku.*****
*****n1@xian.youku.com	w*****
*****yue01@xian.youku.*****
*****ailian@youku.com	ai*****
*****kai@youku.com	l*****
*****jun@youku.com	tm*****
*****iutao@youku.co*****
*****ntian@youku.com	*****
*****angxian@youku.c*****
*****g@xian.youku.com	*****
*****na@youku.com	ma*****
*****mei@xian.youku.*****
*****jia@youku.com	ci*****
*****jie@youku.com	su*****
*****angli@youku.co*****
*****ang.ma@youku.co*****
*****hao@xian.youku.co*****
*****ujing@youku.co*****
*****i@youku.com	y12*****
*****angyu@xian.youku*****
*****	liulibin@youku*****
*****efei@youku.com	h*****
*****@xian.youku.com	gi*****
*****e@youku.com	Re*****
*****95201@qq.com	li*****
*****anghao@youku.co*****
*****ngzhe@youku.com	*****
*****youku.com	datouha*****
*****nliangliang@youku.*****
*****glu@xian.youku.co*****
*****gmeng@xian.youku.*****
*****zheng@youku.com*****
*****xian.youku.com	su*****
*****jun@youku.com	cco*****
*****o@youku.com	lucas_*****
*****ejing@youku.co*****
*****i@xian.youku.com*****
*****angyi@tudou.com*****
*****aoyu@youku.com	wu*****
*****o@xian.youku.com	l*****
*****nwang@tudou.com	*****
*****tudou.com	ZHONGWAN*****
*****jun@youku.com	ta*****
*****tao@youku.com	n*****
*****uchao@youku.co*****
*****ang1@xian.youku.*****
*****huo@youku.com	Cap*****
*****u@youku.com	rain*****
*****yy@tudou.com	bjzh*****
*****higang@tudou.com	u*****
*****an@youku.com	g*****
*****ei@youku.com	lo*****
*****tangjun@youku.*****
*****dan@youku.com	*****
*****youku.com	lili_*****
*****ang@youku.com	nic*****
*****gyu@youku.com	w*****
*****.wei@youku.com*****
*****n@xian.youku.com	mi*****
*****ghao@youku.com	r*****
*****i@youku.com	po0*****
*****.wei@youku.com*****
*****angyufei@youku.co*****
*****tudou.com	hahaha*****
*****gyu@youku.com	s*****
*****nglin@youku.com*****
*****tangjun@youku.*****
*****xuyan@youku.c*****
*****hen1@xian.youku.co*****
*****ian@youku.com	wan*****

上面就是稍微撞了下出来的信息
有了这些信息可以杜工之类的

修复方案：

做好接口验证

版权声明：转载请注明来源子非海绵宝宝@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-11-11 16:58

厂商回复：

多谢提醒，马上修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082888

漏洞标题：优酷某后台逻辑问题导致内部员工信息部分泄漏(还可撞库)

相关厂商：优酷

漏洞作者：子非海绵宝宝

提交时间：2014-11-11 16:52

修复时间：2014-12-26 16:54

公开时间：2014-12-26 16:54

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源子非海绵宝宝@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-082888

漏洞标题：优酷某后台逻辑问题导致内部员工信息部分泄漏(还可撞库)

相关厂商：优酷

漏洞作者： 子非海绵宝宝

提交时间：2014-11-11 16:52

修复时间：2014-12-26 16:54

公开时间：2014-12-26 16:54

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-082888"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 子非海绵宝宝@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：子非海绵宝宝

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源子非海绵宝宝@乌云