漏洞概要 关注数(21) 关注此漏洞
缺陷编号: WooYun-2014-67624
漏洞标题: 糗事百科APP端搭配不当导致用户信息侧漏(邮箱,年龄,手机,id)
相关厂商: 糗事百科
漏洞作者: 郭斯特
提交时间: 2014-07-07 09:15
修复时间: 2014-07-08 12:10
公开时间: 2014-07-08 12:10
漏洞类型: 系统/服务运维配置不当
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经修复
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 默认配置不当
漏洞详情
披露状态:
2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-08: 厂商已经确认,细节仅向厂商公开
2014-07-08: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
进攻App~哟哟哟
详细说明:
一直很喜欢糗事,今天
看到一篇帖子,一张妹子图,按耐不住挖漏洞的冲动。于是 go~
然后抓包:
进过测试发现。
http://m2.qiushibaike.com/article/77760799 (77760799是帖子的id)
获取手机类型 年龄
http://nearby.qiushibaike.com/user/6395516/detail (6395516是用户id)
漏洞证明:
over~
求礼物~求rank~求不忽略~
修复方案:
限制访问
版权声明:转载请注明来源 郭斯特@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2014-07-08 12:07
厂商回复:
已经修复邮箱信息的泄漏,别的都是我们正常接口调用
最新状态:
2014-07-08:邮箱信息已隐藏。别的信息我们后续会考虑用更安全的方式展示。 君
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评价
-
郭斯特大牛,你又在这里吹牛了逼了。工头到处找你,叫你赶紧回工地去,还有两车水泥要卸,工头说再不回去你那10天300块多工钱一分都别想拿到。还有村长来电话了,叫我转告你,隔壁村的王寡妇来你家提亲了,叫你明天赶紧结工钱回去和她把婚事给办了。 还有你侄子的DNA检验结果出来了,你侄子不是你和你嫂子的,隔壁张大婶也去乡里派出所撤案了,说5年前你偷看她洗澡的事情就算了,安心回村里来吧,村里通电了,电话通了,路也修好了,不要在这瞎逛胡说八道了。 快回去,兄弟,另外,你交代的事已经办好了,孩子已经打掉了,她现在刚从医院出来,我安排她在医院附近的宾馆住下了,她的身体很虚弱,有时间的话你可以去看看她,毕竟她是你的女人,打你的电话不接,发短信又不回,作为兄弟我只能帮你到这儿了,好自为之。 我知道你不能让另外一个女的知道,但是我也只能在这儿留言了,但是我想问的是你居然还有心情在这儿挖洞?
8# 回复此人
评论