安居客app任意用户登陆问题

2017年4月20日13:08:59评论554 views字数 209阅读0分41秒阅读模式

摘要

2016-04-19：细节已通知厂商并且等待厂商处理中
2016-04-19：厂商已经确认，细节仅向厂商公开
2016-04-29：细节向核心白帽子及相关领域专家公开
2016-05-09：细节向普通白帽子公开
2016-05-19：细节向实习白帽子公开
2016-06-03：细节向公众公开

漏洞概要关注数(10) 关注此漏洞

缺陷编号： WooYun-2016-198130

漏洞标题：安居客app任意用户登陆问题

漏洞作者： hkAssassin

提交时间： 2016-04-19 13:12

公开时间： 2016-06-03 14:20

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 15

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：逻辑错误

4人收藏

漏洞详情

披露状态：

简要描述：

app任意用户登陆

详细说明：

漏洞细节看下面链接

http://weibo.com/ttarticle/p/show?id=2309403959482995611795

只校验了返回的uid导致的安全问题

漏洞证明：

漏洞细节看下面链接

http://weibo.com/ttarticle/p/show?id=2309403959482995611795

只校验了返回的uid导致的安全问题

修复方案：

你们懂！

版权声明：转载请注明来源 hkAssassin@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2016-04-19 14:14

厂商回复：

感谢对安居客的支持！谢谢！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-19 14:51 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

0

表哥最近高产啊

1# 回复此人
2016-04-19 15:35 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

0

@西西看你这回复，你是知道我有很多小号咯？

2# 回复此人

漏洞概要 关注数(10) 关注此漏洞

缺陷编号： WooYun-2016-198130

漏洞标题： 安居客app任意用户登陆问题

相关厂商： 安居客