当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158243

漏洞标题:小红书任意手机用户密码重置 以18888888888为例

相关厂商:xiaohongshu.com

漏洞作者: Moonbow

提交时间:2015-12-08 19:10

修复时间:2016-01-21 18:22

公开时间:2016-01-21 18:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-08: 细节已通知厂商并且等待厂商处理中
2015-12-08: 厂商已经确认,细节仅向厂商公开
2015-12-18: 细节向核心白帽子及相关领域专家公开
2015-12-28: 细节向普通白帽子公开
2016-01-07: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

三分钟也可以做很多事

详细说明:

小红书是一个社区电商平台[1-2] ,帮下一代消费者找到全世界的好东西。2015年9月,国家总理李克强视察了小红书郑州保税仓库,对“小红书”独特的电商模式表示肯定并寄语“希望你们成为这个领域里走在全国前列的创新型企业[3-4] 。”
小红书由毛文超和瞿芳创办于2013年6月[2] 。主要包括两个板块,UGC(用户原创内容)模式的海外购物分享社区[1] ,以及跨境电商“福利社”[6] 。对即将出国的人来说,可以借助这个平台制定自己的购物清单,而暂时没有出国打算的人,可以通过逛社区来增长经验,或者去福利社完成一次“海淘”[7] 。
小红书福利社采用B2C自营模式[8-9] ,直接与海外品牌商或大型贸易商合作,通过保税仓和海外直邮的方式发货给用户[10-11] 。在毛文超看来,这是能保证正品的做法,同时也能保证在进货时拿到有优势的价格[2] 。
福利社上线半年时间,销售额突破7亿[6] [13-14] 。在2015年6月6日开始的周年大促中,小红书在App Store的排名攀升到总榜第四,生活类榜第二。[15]

漏洞证明:

密码已更改成moonbow521.

Screenshot_2015-12-04-13-02-51.png


Screenshot_2015-12-04-13-04-12.png


捕获.PNG

修复方案:

你们懂

版权声明:转载请注明来源 Moonbow@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-12-08 19:20

厂商回复:

可以任意登录手机号确实是最严重一类的问题,我们会立刻修复

最新状态:

暂无