广州多玩在某群泄露账号密码

admin

140846
文章

117
评论

2015年4月20日10:29:19评论543 views字数 218阅读0分43秒阅读模式

摘要

2014-07-05：细节已通知厂商并且等待厂商处理中
2014-07-05：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-07-07：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(15) 关注此漏洞

缺陷编号： WooYun-2014-67536

漏洞标题：广州多玩在某群泄露账号密码

漏洞作者：小胖胖要减肥

提交时间： 2014-07-05 18:46

公开时间： 2014-07-07 12:01

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank： 10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：设计缺陷/边界绕过

0人收藏

漏洞详情

披露状态：

简要描述：

广州多玩在某群泄露账号密码，便尝试扫号

详细说明：

群里的图，都是能登陆的，明显扫号软件扫出来的，一般有识别验证码，ip代理等功能，你们可以去收个

然后便找接口，主站的

code 区域

POST /login.do HTTP/1.1
 Host: udb.duowan.com
 Connection: close
 Content-Length: 71
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: https://udb.duowan.com
 User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: https://udb.duowan.com/login.do
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: hiido_ui=0.45863921800628304; UDBSESSIONID=12d77c7607eea7ab47209cbd22c8572b3a8d5f00; UDBRJESSESSIONID=aaa8KQGRjpOKe8RCX1fCu; Hm_lvt_d3da82191e5540a9e42feaba8dcfc9ac=1404552374; Hm_lpvt_d3da82191e5540a9e42feaba8dcfc9ac=1404552374; username2=yyuu98198; yyuid=588808787; securityCode=123123
 
 url=%2Fwelcome.do&username=lanyu913&password=zwqtdk860813&securityCode=

漏洞证明：

尝试了一些，可以扫，而且直接会set-cookies证明能够登录的

修复方案：

这个是统一登陆接口，很关键，具体的话多做策略吧，不单单是ip等的策略，也不难的

版权声明：转载请注明来源小胖胖要减肥@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-07 12:01

厂商回复：

感谢对于欢聚时代安全工作的支持，这些账号（密码）均为疑似暴力注册YY账号

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-07-05 19:02 | 梧桐雨 ( 核心白帽子 | Rank:1662 漏洞数:191 | 学无止境)

0

胖胖无处不在，扫号瞬间完成。

1# 回复此人
2014-07-05 20:37 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )

0

@梧桐雨主要群里都发图了，帮帮别人不好么

2# 回复此人
2014-07-05 23:17 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

0

广州多玩在某群泄露账号密码

3# 回复此人
2014-07-07 09:09 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐，我猥琐故我强大)

0

胖胖无处不在，扫号瞬间完成。

4# 回复此人
2014-07-07 13:46 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )

0

@梧桐雨 @xsjswt 呵呵那我扫的呢，总不能是我暴力注册的吧

5# 回复此人
2014-07-07 14:30 | Mr.Zhang ( 路人 | Rank:8 漏洞数:2 | 乌云上的段子手)

0

无影响厂商忽略

6# 回复此人
2014-07-07 14:32 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

0

话说还有贴吧扫号

7# 回复此人
2014-07-07 15:26 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐，我猥琐故我强大)

0

@小胖胖要减肥只要能扫出来，都认定为暴力注册

8# 回复此人
2014-07-07 16:19 | 小怿 ( 实习白帽子 | Rank:31 漏洞数:7 | )

0

@小胖胖要减肥你标题写的不对，你应该写无限制撞库，你这样写肯定忽略啊。

9# 回复此人
2014-08-01 13:24 | 我疯癫 ( 路人 | Rank:2 漏洞数:2 | i)

0

。。。。。这也行

10# 回复此人
2015-06-30 09:42 | 柯腾 ( 普通白帽子 | Rank:111 漏洞数:29 )

0

论标题的重要性

11# 回复此人
2015-07-10 18:14 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

0

其实胖胖是来发福利的

12# 回复此人
2015-07-10 22:28 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

0

测试结果是，修好了。转到aq.yy.com，加了验证码

13# 回复此人

漏洞概要 关注数(15) 关注此漏洞

缺陷编号： WooYun-2014-67536

漏洞标题： 广州多玩在某群泄露账号密码

相关厂商： 广州多玩

漏洞作者： 小胖胖要减肥