漏洞概要 关注数(18) 关注此漏洞
缺陷编号: WooYun-2014-68465
漏洞标题: 暴走漫画APP设计不当导致一次无趣的Fuzzing(5000账号密码已出)
相关厂商: baozoumanhua.com
漏洞作者: 郭斯特
提交时间: 2014-07-14 11:47
公开时间: 2014-08-28 11:48
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 安全意识不足 默认配置不当 安全意识不足
漏洞详情
披露状态:
2014-07-14: 细节已通知厂商并且等待厂商处理中
2014-07-14: 厂商已经确认,细节仅向厂商公开
2014-07-24: 细节向核心白帽子及相关领域专家公开
2014-08-03: 细节向普通白帽子公开
2014-08-13: 细节向实习白帽子公开
2014-08-28: 细节向公众公开
简要描述:
暴走漫画APP设计不当导致一次无趣的Fuzzing(5000账号密码已出)
详细说明:
这个漏洞居然忽略了...
WooYun: 暴走漫画APP搭配不当导致一次有趣的Fuzzing(成功率接近1/10)
不过今天厂商找到我联系说不是故意忽略的...然后叫我提交多个补Rank ~ 中国好厂商!!赞!(差点让技术大哥丢了工作...Sorry~)
WooYun: 暴走漫画APP搭配不当导致一次有趣的Fuzzing(成功率接近1/10)
除了上面提交的接口存在问题 还有几个存在问题的接口
site:baozoumanhua.com -inurl:www
http://debug.baozoumanhua.com/login
http://m.baozou.com/login
漏洞证明:
方法和上次一样...这里我就不重复了,
直接上一张效果图...
修复方案:
版权声明:转载请注明来源 郭斯特@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-07-14 13:11
厂商回复:
会对登陆的接口做参数加密验证
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评价
-
麻烦 @疯狗 @xss 删了 WooYun: 暴走漫画APP搭配不当导致一次有趣的Fuzzing(成功率接近1/10) 的测试账号密码(会影响业务)
7# 回复此人 -
郭斯特大牛,你又在这里吹牛了逼了。工头到处找你,叫你赶紧回工地去,还有两车水泥要卸,工头说再不回去你那10天300块多工钱一分都别想拿到。还有村长来电话了,叫我转告你,隔壁村的王寡妇来你家提亲了,叫你明天赶紧结工钱回去和她把婚事给办了。 还有你侄子的DNA检验结果出来了,你侄子不是你和你嫂子的,隔壁张大婶也去乡里派出所撤案了,说5年前你偷看她洗澡的事情就算了,安心回村里来吧,村里通电了,电话通了,路也修好了,不要在这瞎逛胡说八道了。 快回去,兄弟,另外,你交代的事已经办好了,孩子已经打掉了,她现在刚从医院出来,我安排她在医院附近的宾馆住下了,她的身体很虚弱,有时间的话你可以去看看她,毕竟她是你的女人,打你的电话不接,发短信又不回,作为兄弟我只能帮你到这儿了,好自为之。 我知道你不能让另外一个女的知道,但是我也只能在这儿留言了,但是我想问的是你居然还有心情在这儿挖洞?
11# 回复此人
评论