当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087268

漏洞标题:北京万象新天网络科技旗下商城数据库未授权访问(泄漏用户信息)

相关厂商:hichao.com

漏洞作者: 龍 、

提交时间:2014-12-16 13:58

修复时间:2015-01-30 14:00

公开时间:2015-01-30 14:00

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-16: 细节已通知厂商并且等待厂商处理中
2014-12-16: 厂商已经确认,细节仅向厂商公开
2014-12-26: 细节向核心白帽子及相关领域专家公开
2015-01-05: 细节向普通白帽子公开
2015-01-15: 细节向实习白帽子公开
2015-01-30: 细节向公众公开

简要描述:

北京万象新天网络科技旗下商城数据库未授权访问(泄漏用户信息)

详细说明:

明星衣橱是北京万象新天网络科技有限公司旗下产品,明星衣橱2012年8月正式上线,在一年多的时间里,已经迅速积累了3000多万优质女性用户,日均活跃用户超过260多万人。
我们已经获得两家知名风险投资集团的投资:
2012年10月,天使轮:平安创新投资基金 600万元人民币
2013年11月,A轮:戈壁投资 500万美元
计划在2-3年时间内,明星衣橱将发展成为一家具有国际知名度的综合时尚集团。

漏洞证明:

11.jpg


22.jpg


/* 0 */
{
  "_id" : ObjectId("51ac5752c4cd2fe857000001"),
  "api_key" : "94a6cb0fae575faed51e6a1324b37c94",
  "email" : "gukewei@hichao.com",
  "full_name" : "gukewei",
  "global_admin" : true,
  "in_user_hash" : "35695b717826d137c09ed15cb3777c65fc827d21",
  "in_user_id" : "434e7f5b335d15dd5d1190cf9ed6ad18",
  "password" : "cf0fbe779bfe51aa96b84270042032ebbfb48e4b",
  "username" : "gukewei"
}

119.254.163.61


22.jpg


119.254.161.91

修复方案:

22.jpg


版权声明:转载请注明来源 龍 、@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2014-12-16 14:03

厂商回复:

谢谢龙,这个主要是内部测试系统,我们会尽快修改相关代码!非常感谢

最新状态:

暂无