漏洞概要
关注数(24)
关注此漏洞
漏洞标题:糗事百科某站撞库不成功引发的思考(思维转换完美绕过登录糗事百科主站用户账号)
提交时间:2015-12-02 20:45
修复时间:2016-01-17 18:46
公开时间:2016-01-17 18:46
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:18
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-12-02: 细节已通知厂商并且等待厂商处理中
2015-12-03: 厂商已经确认,细节仅向厂商公开
2015-12-13: 细节向核心白帽子及相关领域专家公开
2015-12-23: 细节向普通白帽子公开
2016-01-02: 细节向实习白帽子公开
2016-01-17: 细节向公众公开
简要描述:
一次对糗事百科某管理系统测试时,可登录账糗事百科主站登录用户账号,这样我们就可以完美绕过主站进行爆破用户账号密码啦!
详细说明:
测试地址
先前对其进行测试时发现无验证机制,并且是明文
我们对爆破的账号进行时发现错误提示如下
原谅我的字典不好~不过难道这就结束了?这提示不是公众号那就是普通账号,那这普通用户账号会不会与糗事百科的主页登录有关联?我们来尝试一下
发现能正常登录,说明确实有关联。
貌似有点酷,这个人!
他的糗事段子还不错!
用户很多,还有妹子哟~不一一登录截图,下面给出跑出来其中一部分的账号能马赛克就马赛克吧!
PS:用户的安全很重要的,求高分,求rank
漏洞证明:
测试地址
先前对其进行测试时发现无验证机制,并且是明文
我们对爆破的账号进行时发现错误提示如下
原谅我的字典不好~不过难道这就结束了?这提示不是公众号那就是普通账号,那这普通用户账号会不会与糗事百科的主页登录有关联?我们来尝试一下
发现能正常登录,说明确实有关联。
貌似有点酷,这个人!
他的糗事段子还不错!
用户很多,还有妹子哟~不一一登录截图,下面给出跑出来其中一部分的账号能马赛克就马赛克吧!
PS:用户的安全很重要的,求高分,求rank
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-12-03 18:44
厂商回复:
漏洞确认
最新状态:
暂无