漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0188694
漏洞标题:新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)
相关厂商:新浪
漏洞作者: 懒懒滴1994
提交时间:2016-03-25 07:57
修复时间:2016-05-10 19:42
公开时间:2016-05-10 19:42
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-03-25: 细节已通知厂商并且等待厂商处理中
2016-03-26: 厂商已经确认,细节仅向厂商公开
2016-04-05: 细节向核心白帽子及相关领域专家公开
2016-04-15: 细节向普通白帽子公开
2016-04-25: 细节向实习白帽子公开
2016-05-10: 细节向公众公开
简要描述:
(⊙o⊙)…如题
详细说明:
今天下午,账号无故退出导致发现了这个问题。账号只需要知道注册电话或邮箱(登录账号名),另外加上身份证号即可修改任意账号,我想说的是,身份证号对于现在信息大面积泄露的,对于各位大神么,还有什么不知道呢?
证明:
1、输入登录账号,进行召回密码
2、本来需要短信验证,但是我选择第二个没有收到短信按钮
3、输入身份证号
4、身份证号码输入正确就可修改了...
5、成功进入账号
我想这些图片应该够证明了吧?
漏洞证明:
今天下午,账号无故退出导致发现了这个问题。账号只需要知道注册电话或邮箱(登录账号名),另外加上身份证号即可修改任意账号,我想说的是,身份证号对于现在信息大面积泄露的,对于各位大神么,还有什么不知道呢?
证明:
1、输入登录账号,进行召回密码
2、本来需要短信验证,但是我选择第二个没有收到短信按钮
3、输入身份证号
4、身份证号码输入正确就可修改了...
5、成功进入账号
我想这些图片应该够证明了吧?
以国民老公为例:
修复方案:
控制好账号体系,你们比我懂得多了。
版权声明:转载请注明来源 懒懒滴1994@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2016-03-26 19:42
厂商回复:
感谢关注新浪安全,已特别设定@appsecssrc帐号为安全测试使用或者使用小号,请不要影响用户的帐号。
最新状态:
暂无