当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112402

漏洞标题:TOM邮箱某接口设计不当可撞库邮箱#2(大量成功账号证明)

相关厂商:TOM在线

漏洞作者: 路人甲

提交时间:2015-05-07 11:29

修复时间:2015-05-12 11:30

公开时间:2015-05-12 11:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:14

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-07: 细节已通知厂商并且等待厂商处理中
2015-05-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

挖洞最苦逼的事莫过于编辑了半天的漏洞最后发现竟然不存在。。

详细说明:

这个接口是一个充值中心的接口:http://tangyuan.tom.com/login.php可以看到没有任何登陆限制

1.png


然后抓包查看一下发现用户名和密码也全部都是明文传输的

2.png


接下来开始撞库,因为上次已经撞出了不少用户,这里也就没有再次进行大规模撞库,看到出来了一些用户就停止了

3.png


随便登陆几个看看:

6.png


5.png


4.png

漏洞证明:

rs,部分账号证明:

hajdhj	123456	2195
zwg115 7788414 2197
amimoon 630417 2199
xsgl 618823023 2201
lxwyqs 90961026 2201
ncyc ncyc1214 2203
zhxccc zhxvvv 2203
wlc8245 88297613 2205
bristal 55169997 2207
rongsy love120 2209
hoyixi kenking727 2209
smssmsa dj3328138 2211
zengdong012 5515293 2213
yiminaaa 671011 2213
locky2 100305 2215
ycylyan 198566 2215
sfsefsf 123456 2215
xlxl96 xiao1978 2217
bugchs 269588 2217
wh7353 8318937 2217
zs948 66280110 2221
baccahatis 4inlove 2222
274713812 3465865 2223
820129 820129 2224
zcywd wszcywd 2225
i2lily niuwei 2225
jaicon 823456 2225
yuebikai woaini 2226
musicmh 511323 2227
sun198757 198757 2227
zafira 123456 2227
727372034 642555 2227
qkh12345 123456 2227
koala607 22015555 2227
fantasycjy 19881207 2230
z2hero 142857 2230
412266742 65318169 2231
zzt2003 bnmmnb2003 2231
haiou3738 haiouhaiou 2231
a3220cs 2373868 2231
js34 2250866 2232
286721647 286721647 2233
280608477 jessie 2233
shilei813 5201314 2233
ukiss 931930 2233
zuoyouzhua woshihaozi 2233
love_xuelin 1984090308 2233
yslwpl 5499180 2235
727217996 727217996 2235
weiyuanhot wei3036429 2235
divail JJ12297 2236
voyage1986 157844418 2236
lzs_jeff lzsjeff 2237
wu7610890 cong528 2237
yuangbohui 13141685 2237
flyxiyue woaini 2237
hwhcola 709394 2237
easycyan 112849 2238
xzseasky zswlan 2238
seraphcool 1987322 2238
jenn1986 jen1986 2239
amwjcfdhd 135790 2239
a3560262 3560262 2239
574229663 13825450526 2239
kkkk3232168 866756 2241
lifengaizi 5532029 2241
pyxwyl wanglang2l 2243
heyulovedan heyu870701 2243
lsf7911 112022962 2243
jiangjie-n shjshj 2245
chidanchu 850406 2245
yhb510623 510623 2245
lioncxq 19910723 2245
137878636 1333982808 2245
115579641 woshibendan00 2245
zhangqivv wo112112 2245
biao7315858 5201314 2247
oulianfei 520520a 2247
294550353 135790 2247
misiqi008 58327448 2249
305160126 305160126 2249
guocalvin 28681888 2249
chrisswy 920215 2250
263996340 111111 2251
hyzhouj089 7758521 2251
fenxiaohuli 198345 2251
aa261315 261315 2253
thtle 26117824 2253
zwllh123 zxcvbnm 2255
www.17173 123456789 2255
ldsldsaq 730102 2256
huhuan1742 7612746 2256
z4311829 307796 2257
mobingjian 281769330 2257
jinchong0905 1989104 2259
houlei_0000 2840714 2259
mimilucky916 26606090 2260
fylirong 19851013 2265
win122082517 5201314 2267
cqlianghao 800618 2273
swy474581675 474581675 2281
xiaoxuejun1988 520520 2440
robertyang303 45678923 2442
zhuminghua123 123456 2458
lanseshuidi1984 0564335lq 2476


修复方案:

邮箱撞库无小事,赶快修复吧:)

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-12 11:30

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无