当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0174180

漏洞标题:APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

相关厂商:优衣库

漏洞作者: 路人甲

提交时间:2016-02-01 16:04

修复时间:2016-03-14 15:10

公开时间:2016-03-14 15:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-02-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

2001年8月,中国子公司Fast RETAILING(Jiangsu) Apparel CO.,LTD江苏成立
2001年9月,首家海外店铺于英国开业(共4家)
2002年4月,为强化设计能力,成立UNIQLO设计研究(UNIQLO Design Studio)
2002年5月,英国店铺数量增加至15家
2002年9月,食品事业子食公司FR FOODS CO.,LTD成立
2002年9月,中国首间 UNIQLO店于上海(共2家)开业
2002年11月,柳井正就任代表取缔役会长兼CEO、玉缘元一就任代表取缔役社长兼COO
2003年11月直营店铺数量超过600家
2005年9月至10月,多间海外店铺陆续开业,包括美国(3家)、南韩(3家)、中国北京(2家)及中国香港(1家)
2009年,日本百货衰退达10.1﹪,优衣库却逆势成长,年获利达1086亿日元,较前一年增长24﹪.
优衣库在中国品牌服装零售业率先推出网购业务,其网络旗舰店于2008年4月16日,Uniqlo的淘宝商城店铺和外部网店同时发布,开店后平均每天销售2000件。另外,优衣库下个月还将在上海新开3家门店,使上海的门店总数达到11家;优衣库2012年在中国的门店总数将在数量上翻一番。
据介绍,优衣库已在武汉、北京、天津、石家庄 、杭州、上海、南京、重庆、成都、广州、青岛、沈阳、长春、大连、济南、西安、哈尔滨、绵阳、齐齐哈尔等内地重要城市布点。其中在北京已经拥有5家门店,据说,到2010年北京的门店数将达到10家;而成都继上月开出第一家门店后,即将开出第二、第三家门店。在2009年9月12号开业的优衣库大连店也是东北地区的店,也标志着优衣库正式登陆东北地区。2009年9月19日,UNIQLO在天津的国际商场店盛大开幕。2009年11月 优衣库在杭州利星的旗舰店开张。2010年5月,优衣库落户于青岛百丽广场的旗舰店开张。2011年8月,优衣库落户济南恒隆广场。2011年9月,在济南和谐广场开第二家门店。2012年9月,在南宁华润中心万象城的旗舰店开业。2012年10月20日,西安开元商城店、民生新乐汇店两店齐开。2012年12月21日,在四川绵阳万达广场落户。
据悉,优衣库在中国、东南亚、欧洲等多个地区都有加工点,其中中国的各种加工企业多达几百家。优衣库的商品中有90%是在中国生产的。截至2009年上半年,日本优衣库在中国14个城市开设的服装专卖店数量共计32家。

漏洞证明:

昨天姐姐在优衣库给我买了两条裤子,今天想起来下载个优衣库APP玩玩,顺手测试一下,下载APP后找回密码,输入土豪号码13888888888

1.jpg


2.jpg


然后抓包

3.jpg


暴力破解验证码,太短了,就4位

4.jpg


爆破成功,手机上返回输入验证码,再输入新密码,OK,密码修改成功

5.jpg


看下面的土豪号码

6.jpg


修复方案:

搞个6位数的有效时间验证码吧!
我真希望这是个好厂商,能正视安全问题。比如立(gei)即(dian)修(li)复(wu)。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)