当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120838

漏洞标题:一起发主站后台沦陷(50万网站主信息,可修改密码、支付密码、广告等,威胁第三方网站)

相关厂商:yiqifa.com

漏洞作者: 阿G

提交时间:2015-06-16 14:04

修复时间:2015-07-31 16:38

公开时间:2015-07-31 16:38

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-16: 厂商已经确认,细节仅向厂商公开
2015-06-26: 细节向核心白帽子及相关领域专家公开
2015-07-06: 细节向普通白帽子公开
2015-07-16: 细节向实习白帽子公开
2015-07-31: 细节向公众公开

简要描述:

方便面爆破漏洞观后感
可以通过修改广告代码 威胁第三方安全

详细说明:

http://www.wooyun.org/whitehats/北京方便面 方便面爆破漏洞观后感
http://www.yiqifa.com:8888/
lijie
123456
导出后台账号列表 再爆破

aidinghua
luqin
hanerman
lihongyuan6
lihongyuan5
lihongyuan4
zhangqiuyang1
xiaoruiping3
majingjuan
wubin
zhaolizhi
lihongyan
qubingqing
jianghua
zhangguoliang
shili
liuyongqiang
wangdi
xiaoruiping
lihongming
lijie
xuzhongchi
zhouchao
yangyuanyuan1
wangzhongliang
liusujun
xujingjing
peiyanfei
yangsuyun


应该还有好多其他弱口令 自己检查吧

漏洞证明:

屏幕快照 2015-06-16 上午11.54.36.png


uc浏览器的账号:

屏幕快照 2015-06-16 上午11.55.57.png


屏幕快照 2015-06-16 下午12.41.24.png


屏幕快照 2015-06-16 下午3.03.59.png


屏幕快照 2015-06-16 下午3.04.30.png

修复方案:

版权声明:转载请注明来源 阿G@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-16 16:37

厂商回复:

正处理

最新状态:

暂无