当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158756

漏洞标题:onlylady女人志验证码设计缺陷&逻辑缺陷可撞库用户可封禁用户

相关厂商:onlylady女人志

漏洞作者: 路人甲

提交时间:2015-12-07 12:06

修复时间:2015-12-12 12:08

公开时间:2015-12-12 12:08

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-07: 细节已通知厂商并且等待厂商处理中
2015-12-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

onlylady女人志验证码设计缺陷&逻辑缺陷可撞库用户可封禁用户

详细说明:

http://bbs.onlylady.com/member.php?mod=logging&action=login&referer=http%3A%2F%2Fwww.onlylady.com%2F登录位置的验证码,好像只要不刷新页面就一直不会变

005.png


然后抓包用户名密码明文的

006.png


测试可以撞库,这里贴出部分成功帐号:
hanyu916 19850916 2889
123457 123457 2890
wenwen62 9831102 2897
yangyi5200 5503178 2903
geta 8859518 2907
ddd 111111 2911
chenchangh 123456 2928
397981107 397981107 2949
amimoon 630417 2966
gfgf 123456 2970
jj870528 111111 2984
a123456 123456 2989
diandi_001 224126 2998
11 123456 3006
momolou 4521449 3012
124949190 19880625 3015
SDFDG 123456 3021
jelly62200 13685006689 3027
diana_xy 761223 3031
112233 123456 3061
登录网站证明:

001.png


002.png


003.png


至于封禁用户,登录一定次数就不让登录,然后。。。

漏洞证明:

001.png


002.png


003.png

修复方案:

修复验证码

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-12 12:08

厂商回复:

最新状态:

暂无