当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2016-0179984
漏洞标题:
tom邮箱某分站可撞库用户(成功案例证明)
相关厂商:
TOM在线
漏洞作者:
路人甲
提交时间:
2016-03-02 09:38
修复时间:
2016-03-07 09:40
公开时间:
2016-03-07 09:40
漏洞类型:
设计缺陷/逻辑错误
危害等级:
自评Rank:
3
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2016-03-02: 细节已通知厂商并且等待厂商处理中
2016-03-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

tom邮箱某分站可撞库用户(成功案例证明)

详细说明:

http://hjsm.tom.com/登录位置无验证码无限制

1.png


抓包用户名密码明文传输

2.png


test撞库OK

3.png


成功案例证明:

mask 区域 
*****1120	*****
*****2315*****
*****60603*****
*****3456	*****
*****1212*****
*****1333	*****
*****24143	*****
*****67456	*****
*****456	1*****
*****25812*****
*****ghao	*****
*****97504*****
*****13464*****
*****3388	*****
*****74213	*****
*****82071*****
*****862111*****
*****gxing	*****
*****nzhua	*****
*****272895*****
*****314520*****
*****561034*****
*****26265*****
*****90082*****
*****90196	*****
*****008621*****
*****370075*****
*****64127*****
*****ddd235*****
*****iangba*****
*****458822*****
*****57828*****
*****758521*****
*****237459*****
*****769785*****
*****51076	*****
*****54452	*****
*****872611*****
*****gical	*****
*****501201*****
*****23456	*****
*****isiwei*****
*****684505*****
*****655799*****
*****325699*****
*****058734*****
*****66486	*****
*****23456	*****
*****23456	*****
*****23456	*****
*****134865*****
*****793431*****
*****	19891*****
*****670105*****
*****45612*****
*****53315	*****
*****1541827*****
*****angjin*****
*****161105*****
*****758659*****
*****482326*****
*****048517*****
*****751251*****
*****166802*****
*****341889*****
*****hp1231*****
*****70880	*****
*****49555	*****
*****ixu325*****
*****25113	*****
*****418695*****
*****321816*****
*****693049*****
*****80135a*****
*****23456	*****
*****jielun*****
*****20788	*****
*****	31802*****
*****9519456*****
*****23456	*****
*****531574*****
*****33633	*****
*****0589266*****
*****829638*****
*****	dabis*****
*****	19861*****
*****	22888*****
*****102030z*****
*****4952981*****
*****592570*****
*****	52422*****
*****5	1985*****
*****198902*****
*****456	1*****
*****0129	*****
*****3321	*****
*****3321	*****
*****880406*****
*****9487	*****
*****3456	*****
*****979090*****
*****98792	*****
*****6307778*****
*****456789*****
*****982090*****
*****7879	*****
*****angjie*****

漏洞证明:

http://hjsm.tom.com/登录位置无验证码无限制

1.png


抓包用户名密码明文传输

2.png


test撞库OK

3.png


成功案例证明:

mask 区域 
*****1120	*****
*****2315*****
*****60603*****
*****3456	*****
*****1212*****
*****1333	*****
*****24143	*****
*****67456	*****
*****456	1*****
*****25812*****
*****ghao	*****
*****97504*****
*****13464*****
*****3388	*****
*****74213	*****
*****82071*****
*****862111*****
*****gxing	*****
*****nzhua	*****
*****272895*****
*****314520*****
*****561034*****
*****26265*****
*****90082*****
*****90196	*****
*****008621*****
*****370075*****
*****64127*****
*****ddd235*****
*****iangba*****
*****458822*****
*****57828*****
*****758521*****
*****237459*****
*****769785*****
*****51076	*****
*****54452	*****
*****872611*****
*****gical	*****
*****501201*****
*****23456	*****
*****isiwei*****
*****684505*****
*****655799*****
*****325699*****
*****058734*****
*****66486	*****
*****23456	*****
*****23456	*****
*****23456	*****
*****134865*****
*****793431*****
*****	19891*****
*****670105*****
*****45612*****
*****53315	*****
*****1541827*****
*****angjin*****
*****161105*****
*****758659*****
*****482326*****
*****048517*****
*****751251*****
*****166802*****
*****341889*****
*****hp1231*****
*****70880	*****
*****49555	*****
*****ixu325*****
*****25113	*****
*****418695*****
*****321816*****
*****693049*****
*****80135a*****
*****23456	*****
*****jielun*****
*****20788	*****
*****	31802*****
*****9519456*****
*****23456	*****
*****531574*****
*****33633	*****
*****0589266*****
*****829638*****
*****	dabis*****
*****	19861*****
*****	22888*****
*****102030z*****
*****4952981*****
*****592570*****
*****	52422*****
*****5	1985*****
*****198902*****
*****456	1*****
*****0129	*****
*****3321	*****
*****3321	*****
*****880406*****
*****9487	*****
*****3456	*****
*****979090*****
*****98792	*****
*****6307778*****
*****456789*****
*****982090*****
*****7879	*****
*****angjie*****

修复方案:

加密

版权声明:转载请注明来源 路人甲@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-07 09:40

厂商回复:

最新状态:

暂无