当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112878

漏洞标题:今日头条的一次渗透测试(小电影亮了)

相关厂商:字节跳动

漏洞作者: 爱上平顶山

提交时间:2015-05-08 15:06

修复时间:2015-06-26 18:40

公开时间:2015-06-26 18:40

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-08: 细节已通知厂商并且等待厂商处理中
2015-05-12: 厂商已经确认,细节仅向厂商公开
2015-05-22: 细节向核心白帽子及相关领域专家公开
2015-06-01: 细节向普通白帽子公开
2015-06-11: 细节向实习白帽子公开
2015-06-26: 细节向公众公开

简要描述:

今日头条

详细说明:

今日头条
没事 测试下。
1、信息收集:
直接微博

http://s.weibo.com/user/&work=%25E4%25BB%258A%25E6%2597%25A5%25E5%25A4%25B4%25E6%259D%25A1


99.jpg


找到了 名字+QQ+mail的大概20+
2、分析测试:
找到一个常见的:
各种Google bing 库~ 密码 电话搞定

王伟  wangwei@bytedance.com   04035016b  04035016  wade04035016@gmail.com  
156523***82 wade_bytedance


3、瞅瞅看:
HR:

9.jpg


mail Google的 【不知道手机号就用Foxmail 哈】

8.jpg


共享:

7.jpg


团队网盘:

6.jpg


5.jpg


小电影。。。亮了~~
公用AppStore的就不放了

4.jpg


doc:

3.jpg


2.jpg


其他监控 友盟什么的:

1.jpg


0.jpg


00.jpg


000.jpg


OpenVPN使用方法

一.关于VPN登录账户
openvpn用户名和密码:统一账号认证管理系统
二.WINDOWS安装图解
1.下载openvpn windows版本(内网仅提供64位下载,其他版本系统请到官网下载相应版本)。


ok 不深入.
说下王伟 赞一个:

2012.05 - 至今 今日头条
互联网/移动互联网/电子商务
前端负责人
2012.05 - 至今
工作地点:北京
从公司创业至今的近两年时间,独自一人负责全部前端工作
包括网站,app嵌套页, 媒体平台,广告平台.等等.至今才招到第二个搭档.


额 我有你猎聘的账号密码 你改改吧。
ok

漏洞证明:

0.jpg


800+邮件

修复方案:

安全意识
公司账户 禁止在外部泄露 修改自己已经泄露的密码。

版权声明:转载请注明来源 爱上平顶山@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-05-12 18:38

厂商回复:

确认问题。已经处理并采取后续措施。

最新状态:

暂无