178尾巴设计缺陷可撞库网站用户（成功帐号证明）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150390

漏洞标题：178尾巴设计缺陷可撞库网站用户（成功帐号证明）

漏洞作者：路人甲

提交时间：2015-10-30 10:37

修复时间：2015-12-14 11:12

公开时间：2015-12-14 11:12

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-30：细节已通知厂商并且等待厂商处理中
2015-10-30：厂商已经确认，细节仅向厂商公开
2015-11-09：细节向核心白帽子及相关领域专家公开
2015-11-19：细节向普通白帽子公开
2015-11-29：细节向实习白帽子公开
2015-12-14：细节向公众公开

简要描述：

178尾巴设计缺陷可撞库网站用户（成功帐号证明）

详细说明：

http://t.178.com/user/login?to=http%3A%2F%2Ft.178.com%2Fresource%2Fshow%3Ftoken32%3D22cb5f2a1e5568b686437f73f5dcef24登录你的二次元身份设计缺陷可撞库用户，用户名密码均明文传输的：

之后进行撞库测试，发现有的是302跳转，怀疑是登录成功后的跳转：

部分成功帐号证明：

ske000	chenjietan	952
319424	993682	952
kofcs	30122248	964
xgw213	135213xgw	967
hwjfxtp	120324707	968
madzz	mrbeyond	968
woaityc110	5562312	969
a3220cs	2373868	970
529326871	7043401	970
asllg	Bin880930	971
qscwdv32	1wnzhua	982
289912888	3220899ex	982
zhuyu301	zhuyuaijia	982
mukeyiyi	520120	983
ggz1988	19859755	983
vkbshfm	43674213	984
mayi0625	910625	985
tsdlesser	capricorn7	985
daibao719	5207191314	985
wqi_ang	1123581321	985
handong220	52671314	985
handong220	52671314	985
hexiaowe_3516	25245275	986
kaysmile	8608702	986
wangli0099	138203wang	987
xiaoma0226	7894997	989
louis0023	821030	989
tottima10	maning245	991
hyuhanchen	37054643	993

主站登录证明：

二次元身份～～～

漏洞证明：

之后进行撞库测试，发现有的是302跳转，怀疑是登录成功后的跳转：

部分成功帐号证明：

ske000	chenjietan	952
319424	993682	952
kofcs	30122248	964
xgw213	135213xgw	967
hwjfxtp	120324707	968
madzz	mrbeyond	968
woaityc110	5562312	969
a3220cs	2373868	970
529326871	7043401	970
asllg	Bin880930	971
qscwdv32	1wnzhua	982
289912888	3220899ex	982
zhuyu301	zhuyuaijia	982
mukeyiyi	520120	983
ggz1988	19859755	983
vkbshfm	43674213	984
mayi0625	910625	985
tsdlesser	capricorn7	985
daibao719	5207191314	985
wqi_ang	1123581321	985
handong220	52671314	985
handong220	52671314	985
hexiaowe_3516	25245275	986
kaysmile	8608702	986
wangli0099	138203wang	987
xiaoma0226	7894997	989
louis0023	821030	989
tottima10	maning245	991
hyuhanchen	37054643	993

主站登录证明：

二次元身份～～～

修复方案：

验证码

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-10-30 11:10

厂商回复：

感谢洞主对完美世界的关注，我们将尽快修补。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150390

漏洞标题：178尾巴设计缺陷可撞库网站用户（成功帐号证明）

相关厂商：178游戏网

漏洞作者：路人甲

提交时间：2015-10-30 10:37

修复时间：2015-12-14 11:12

公开时间：2015-12-14 11:12

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150390

漏洞标题：178尾巴设计缺陷可撞库网站用户（成功帐号证明）

相关厂商：178游戏网

漏洞作者： 路人甲

提交时间：2015-10-30 10:37

修复时间：2015-12-14 11:12

公开时间：2015-12-14 11:12

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：3

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0150390"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云