当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129073

漏洞标题:投哪网某处逻辑错误过滤不严可撞库

相关厂商:深圳投哪金融服务有限公司

漏洞作者: 路人甲

提交时间:2015-07-25 14:44

修复时间:2015-07-30 14:46

公开时间:2015-07-30 14:46

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-25: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

网址:https://m.touna.cn/sign-in.html,此处虽然已经对登陆进行了限制,比如同一用户名连续尝试登陆十来次就需要输入验证码,这能够防止爆破,但未对撞库进行限制,撞库时对密码进行了md5加密,用burpsuite对密码进行一下加密即可,利用泄漏的库只撞了四十来万撞得三十多个有效账号,可在电脑端:https://www.touna.cn/user-login.html登陆,登陆进去里面涉及金钱,虽然手机号码中间四位打码了,但由于之前未对同一密码用户名输入次数进行限制,导致根据密码爆出电话号码,下面的账号密码麻烦管理员审完后打一下码。



mask 区域


***** md5:        *****
*****b06eea971018eb*****
*****a85c742a5f101*****
*****b7d8e9a1916aae*****
*****52fa5c73c73b134*****
*****eb7916c600d9a*****
*****de059b4cf6009*****
*****fa9525ba179548a*****
*****91e9cccad2e41*****
*****0c16fecc65f3a3*****
*****f2d0680703a633c*****
*****f8ad61d037b92e*****
*****f67d155e37374*****
*****d12dc7e02c7d51*****
*****83629bed47e52c*****
*****a527f25269463a8*****
*****658e647e1e757*****
*****906ff2db26794*****
*****73475a11e22131*****
*****36e8d7833d39d*****
*****2e507e571a354*****
*****88f02ee8f77c58*****
*****027551a05a5decc*****
*****d6cccec6ceeba1a3*****
*****5fc5eba2d372f4*****
*****b2750a3636920*****
*****43996c62cf5ba9*****
*****fa74a1f309943*****
*****d2d418e55c8e22*****
*****e571855a6f9bf*****
*****5a0279729f312*****
*****db8bfcd5f22f1*****


0.png

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

9.png

10.png

漏洞证明:

0.png

1.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

9.png

10.png

修复方案:

加强验证

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-30 14:46

厂商回复:

漏洞Rank:1 (WooYun评价)

最新状态:

暂无