漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
百度币卡充值图片验证码无效
相关厂商:
漏洞作者:
提交时间:
2012-03-31 16:06
修复时间:
2012-04-05 16:06
公开时间:
2012-04-05 16:06
漏洞类型:
设计缺陷/逻辑错误
危害等级:
低
自评Rank:
5
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2012-03-31: 细节已通知厂商并且等待厂商处理中
2012-04-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
百度币卡充值图片验证码可被绕过,可能被用于暴力破解卡密
详细说明:
http://coin.baidu.com/BC_addfunds.jsp
正常情况下,如果图片验证码不对,会提示验证码错误。且每提交一次后,验证码自动刷新。
1.打开页面后,记住当前的图片验证码
2.关闭ie的图片显示功能
3.用刚才记住的图片验证码反复提交,不再提示验证码错误,用个脚本自动去猜卡密吧
漏洞证明:
图1:
图2:
修复方案:
图片验证码鉴权一次后应当清空
避免被重用
版权声明:转载请注明来源 neobyte@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-04-05 16:06
厂商回复:
最新状态:
暂无