[公开漏洞]悠哉网读取任意用户个人资料(包括邮箱 手机)
-
来源:WooYun 浏览:516次 时间:2014-07-11
悠哉网读取任意用户个人资料(包括邮箱 手机)
相关厂商:
悠哉旅游网
漏洞作者:路人甲
提交时间:2014-05-27 10:28
公开时间:2014-07-11 10:29
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:
厂商已经确认
漏洞来源:http://www.wooyun.org
Tags标签:
用户敏感信息泄露
漏洞详情
披露状态:
2014-05-27:细节已通知厂商并且等待厂商处理中
2014-05-27:厂商已经确认,细节仅向厂商公开
2014-06-06:细节向核心白帽子及相关领域专家公开
2014-06-16:细节向普通白帽子公开
2014-06-26:细节向实习白帽子公开
2014-07-11:细节向公众公开
悠哉网读取任意用户个人资料(包括邮箱 手机)
详细说明:读取任意帐号的个人资料 包括邮箱 手机号。
可以配合一下 你们的重置密码的漏洞。 。
首先来注册个帐号
然后
http://u.uzai.com/manage/personal-info
来burp进行抓包。
来我们把id修改程502043
发送
漏洞证明:
修复方案:
重新设置一下 对这段代码验证的条件吧。
版权声明:转载请注明来源 路人甲@乌云漏洞回应 厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-05-27 11:18
厂商回复:谢谢,正在处理。
最新状态:暂无
下一篇: [公开漏洞]悠哉网任意帐号密码秒改漏洞