PPTV一接口设计缺陷可撞库用户 | wooyun-2015-0145369| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145369

漏洞标题：PPTV一接口设计缺陷可撞库用户

漏洞作者：路人甲

提交时间：2015-10-08 17:17

修复时间：2015-11-23 11:50

公开时间：2015-11-23 11:50

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-08：细节已通知厂商并且等待厂商处理中
2015-10-09：厂商已经确认，细节仅向厂商公开
2015-10-19：细节向核心白帽子及相关领域专家公开
2015-10-29：细节向普通白帽子公开
2015-11-08：细节向实习白帽子公开
2015-11-23：细节向公众公开

简要描述：

PPTV一接口设计缺陷可撞库用户

详细说明：

http://passport.pptv.com/UI/Security/MiniLogin.aspx这个接口了，无验证码，无限制，用户名密码均明文传输，可以fuzzing

下面直接贴出部分测试成功的账户：



mask 区域

*****i303642*****
*****lywithm*****
*****90196	*****
*****690193*****
*****775852*****
*****23456	*****
*****533183*****
*****172499*****
*****	63914*****
*****ovecy08*****
*****33633	*****
*****4	1982*****
*****0303	*****
*****zy1158*****
*****23001	*****
*****	gatte*****
*****232133*****
*****9860126*****
*****	34015*****
*****	77582*****
*****10	820*****
*****	1860sj*****
*****	13920*****
*****821022*****
*****66502*****
*****	10273*****
*****	cheng1*****
*****	59192*****
*****hang200*****
*****198481*****
*****	77777*****
*****p10208*****
*****	lichen*****
*****966139*****
*****2	2772*****
*****986092*****
*****	11111*****
*****s52131*****
*****xvvv	*****
*****844466*****
*****3456	*****
*****	liuch*****
*****879927*****
*****j8291*****
*****nbv7a52*****
*****180555*****
*****95952*****
*****231053*****
*****288848*****
*****0113	*****
*****30243	*****
*****661985*****
*****2152124*****
*****20926*****
*****456	1*****
*****82022*****
*****850916*****
*****87012*****
*****y43111*****
*****52689*****
*****20401*****
*****	66980*****
*****42234	*****
*****81053	*****
*****29122*****
*****injiew*****
*****engxp*****
*****hiwangs*****
*****quandi*****
*****cb89080*****
*****nghj19*****
*****18017*****
*****54789	*****
*****60524*****
*****10723	*****
*****ao	woa*****
*****22700*****
*****25539	*****
*****ingyg*****
*****g	wowuh*****
*****zszyaii*****
*****22231*****
*****	33107*****
*****11111*****
*****ajianhu*****
*****252268*****
*****1220	*****
*****764503*****
*****8683262*****
*****988120*****
*****	yang268*****
*****41202	*****
*****198907*****
*****0jing	*****
*****houtna*****
*****f1234	*****
*****10110*****
*****45582	*****
*****16891	*****
*****3456*****
*****978692*****
*****353400*****
*****23477*****
*****20622*****
*****58271*****
*****12112*****
*****733999*****
*****862486*****
*****207191*****
*****hzjj	*****
*****31388	*****
*****889680*****
*****74181*****
*****z12345*****
*****owwy06*****
*****8945612*****
*****3456	*****
*****81053	*****
*****698592*****
*****987523*****
*****581123*****
*****87120*****
*****zhuan	*****
*****yayay*****
*****uiyan*****
*****ys19920*****
*****andong*****
*****1986011*****
*****000822*****
*****nghj19*****
*****ddxxj	*****
*****mouse2*****
*****ong528*****
*****70880	*****
*****758521*****
*****021101*****
*****i18778*****
*****40119*****
*****ianbo9*****
*****l04091*****
*****98342*****
*****ck232*****
*****05290	*****
*****203838*****
*****ahong12*****
*****1	5743*****
*****111111*****
*****8	1234*****
*****60507	*****
*****3456	*****
*****angjs	*****
*****ongli*****
*****838554*****
*****0	8680*****
*****41227	*****
*****87900	*****
*****035686*****
*****58521	*****
*****791022*****
*****595142*****
*****ering	*****
*****368133*****
*****loveyo*****
*****866896*****
*****586244*****
*****ao	168*****
*****00231*****
*****woaiwo*****
*****sky103*****
*****523160*****
*****98	abc*****
*****23456	*****
*****6	87111*****
*****513217*****
*****694466*****
*****52103*****
*****544593*****
*****hy6811*****
*****851013*****
*****98142*****
*****165182*****
*****985231*****
*****063094*****
*****40205	*****
*****loveyo*****
*****34356	*****
*****526713*****
*****841210*****
*****4inlov*****
*****jiashua*****
*****261062*****
*****1500189*****
*****123456*****
*****son27	*****
*****ienbo61*****
*****878884*****
*****iaoqua*****
*****790403*****
*****2	22637*****
*****beaut*****
*****	22809*****
*****nyihon*****
*****	19838*****
*****316616*****
*****qq9112*****
*****iyuan12*****
*****5031li*****
*****888888*****
*****24957	*****
*****157350*****
*****14521d*****
*****nghai*****
*****iexiaof*****
*****sdskyw*****
*****861230*****
*****304349*****
*****aotian*****
*****na	880*****
*****92288*****
*****	196604*****
*****11539*****
*****57038*****
*****55132*****
*****sugmf*****
*****nghai*****
*****aimein*****
*****ljh831*****
*****wenshun*****
*****368153*****
*****	10181*****
*****98287	*****
*****oaiwoj*****
*****1984031*****
*****yanleixi*****
*****35790	*****
*****91998*****
*****	88975*****

成功的账户主站登录证明

漏洞证明：

修复方案：

加上验证码

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-10-09 11:49

厂商回复：

多谢关注，已经开始修复新的接口。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145369

漏洞标题：PPTV一接口设计缺陷可撞库用户

相关厂商：PPTV(PPlive)

漏洞作者：路人甲

提交时间：2015-10-08 17:17

修复时间：2015-11-23 11:50

公开时间：2015-11-23 11:50

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0145369

漏洞标题：PPTV一接口设计缺陷可撞库用户

相关厂商：PPTV(PPlive)

漏洞作者： 路人甲

提交时间：2015-10-08 17:17

修复时间：2015-11-23 11:50

公开时间：2015-11-23 11:50

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0145369"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云