当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146247

漏洞标题:好孩子育儿网主站接口设计缺陷可导致撞库攻击(备孕妈妈你的信息侧漏啦)

相关厂商:好孩子育儿网

漏洞作者: 路人甲

提交时间:2015-10-13 09:51

修复时间:2015-12-01 13:20

公开时间:2015-12-01 13:20

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-13: 细节已通知厂商并且等待厂商处理中
2015-10-17: 厂商已经确认,细节仅向厂商公开
2015-10-27: 细节向核心白帽子及相关领域专家公开
2015-11-06: 细节向普通白帽子公开
2015-11-16: 细节向实习白帽子公开
2015-12-01: 细节向公众公开

简要描述:

好孩子育儿网主站接口设计缺陷可导致撞库攻击(备孕妈妈你的信息侧漏啦!)

详细说明:

http://user.goodbaby.com主站登录接口无验证码无限制用户名和密码都是明文传输的

1.jpg


然后测试撞库,判断回显应该是可以的,这里直接贴出部分成功帐号证明了:

mask 区域 
*****m	12345*****
*****m	198711*****
*****23456	*****
*****23456	*****
*****m	123456*****
*****com	510*****
*****23456	*****
*****23456	*****
*****com	910*****
*****m	198810*****
*****	ting4ev*****
*****com	769*****
*****23456	*****
*****m	199012*****
*****m	hezhen*****
*****om	1452*****
*****	12345*****
*****	8199281*****
*****com	894*****
*****om	1226*****
*****123456*****
*****com	198*****
*****m	622972*****
*****m	137513*****
*****com	198*****
*****23456	*****
*****om	2784*****
*****23456	*****
*****23456	*****
*****123456*****
*****123456*****
*****m	1234*****
*****om	123*****
*****om	1233*****
*****m	376823*****
*****m	280582*****
*****	83112*****
*****123456*****
*****123456*****
*****m	1234*****
*****m	85090*****
*****123456*****
*****.com	wen*****
*****m	li8706*****
*****m	1234*****
*****m	1234*****
*****baggiomao*****
*****123456*****
*****m	231403*****
*****m	1234*****
*****com	218*****
*****m	1234*****
*****om	pmcs*****
*****om	12345*****
*****	tianxia*****
*****om	3586*****
*****com	791*****
*****123456*****
*****	213498*****
*****com	121*****
*****m	1234*****
*****m	1234*****
*****om	1945*****
*****m	9b9s9d*****
*****om	1987*****
*****m	xiaoch*****
*****m	1q2ws3*****
*****m	912023*****
*****m	123456*****
*****11111	*****
*****m	12345*****
*****m	123456*****
*****om	8289*****
*****m	993282*****
*****m	123456*****
*****com	dai*****
*****5110150*****
*****m	123456*****
*****m	123456*****
*****om	19841*****
*****m	l19900*****
*****m	123456*****
*****com	123*****
*****m	123456*****
*****m	123456*****
*****m	63041*****
*****.com	30*****
*****.com	52*****
*****.com	12*****
*****com	283*****
*****om	1985*****
*****com	121*****
*****m	198406*****
*****com	791*****
*****om	51877*****
*****m	199201*****
*****m	13145*****
*****com	775*****
*****com	sec*****
*****com	880*****
*****com	521*****
*****	congcon*****
*****om	8562*****
*****om	1983*****
*****om	9159*****
*****com	135*****
*****123456*****
*****om	2736*****
*****m	87755*****
*****m	52013*****
*****m	52013*****
*****m	weiyi2*****
*****om	11111*****
*****com	841*****
*****	ww5268*****
*****3@qq.com	*****
*****m	198510*****
*****m	198512*****
*****m	12345*****
*****m	laji1h*****
*****om	1016*****
*****m	caon*****
*****om	4077*****
*****om	8045*****
*****m	12345*****
*****com	352*****
*****om	213*****
*****com	820*****
*****m	woshi*****
*****com	811*****
*****m	11111*****
*****m	12345*****
*****om	8190*****
*****om	2131*****
*****m	laopon*****
*****com	830*****
*****m	134034*****
*****m	276468*****
*****com	771*****
*****com	815*****
*****m	443352*****
*****m	47252*****
*****om	8205*****
*****	12345*****
*****com	naji*****
*****m	112211*****
*****om	nan*****
*****m	1111*****
*****om	hyde*****
*****om	8509*****
*****m	woaini*****
*****m	12378*****
*****m	327798*****
*****com	771*****
*****om	1234*****


然后登录测试看看,发现信息泄漏还是比较严重的:

2.png

漏洞证明:

修复方案:

加上验证码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-17 13:19

厂商回复:

感谢持续关注好孩子安全事业。

最新状态:

暂无