当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088909

漏洞标题:要玩游戏平台官方网站某处逻辑设计缺陷漏洞导致部分用户密码泄漏(免费用别人帐号玩游戏)

相关厂商:要玩游戏平台

漏洞作者: 0x 80

提交时间:2014-12-29 09:54

修复时间:2015-02-12 09:56

公开时间:2015-02-12 09:56

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

逻辑设计缺陷

详细说明:

直接:inurl:../..yaowan//.username.//
可以看到很多地址

22.png


点开1个,发现用户密码已经完全全部泄漏

218.png


21.png


还可以绑定手机,危害很大

217.png


没有任何加密
http://tgong.yaowan.com/gonggao/20371.html?username=daishenyang123&pwd=986513
登录看看

221.png


漏洞证明:

再来1个
大闹天宫不玩了
玩其他的
沙之城主
http://sc.yaowan.com/xinwen/10994.html?username=n850202&pwd=871211
登录看看

1.png


需要下载客户端,我就不下载了
还可以查询充值明细

122.png


修复方案:

你懂的

版权声明:转载请注明来源 0x 80@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝