漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
购物网站的用户安全泄漏并存大量余额
相关厂商:
漏洞作者:
提交时间:
2013-10-18 10:50
修复时间:
2013-12-02 10:50
公开时间:
2013-12-02 10:50
漏洞类型:
后台弱口令
危害等级:
高
自评Rank:
15
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2013-10-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-02: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
此网站用户有3W,余额上百万,今天偶然扫C段扫出来的弱口令,可修改前台用户密码操纵金额。
详细说明:
偶然发现一个废弃后台弱口令登录,说是废弃其实可以管理主站的一切操作,包括文章,下订单等。
其中用户余额上万元,为了保证用户的权益,提交此漏洞,求邀请码一枚!
漏洞证明:
http://admin.al-pic.com/
弱口令 admin admin
登录 统计-用户信息可以看到所有ID
但是没有密码
通过主站忘记密码功能可以重置密码
修复方案:
删除域名 因为主站存在另一个后台
版权声明:转载请注明来源 Moogong@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝