缺陷编号:WooYun-2015-0130477
漏洞标题:乐视网某后台弱口令泄露所有客户与客服的聊天记录
相关厂商:乐视网
漏洞作者:路人甲
提交时间:2015-07-30 16:49
公开时间:2015-09-13 18:06
漏洞类型:后台弱口令
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开
看电视,我选择乐视薯片
url:http://wechat.cc.letv.com/EliteWebChat/logout.do弱口令:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
密码全部都是:[email protected]<br> 用户:<br> liutingting<br> liuhao<br> huangyong<br> wanglihua<br> wangdandan<br> liuqian<br> lidandan<br> zhangwei<br> liwei<br> lina<br> liuqiang<br> wangbin<br> wangning<br> zhangkai<br> yangchao<br> gaofeng<br> zhanglong<br> chenbo<br> lihao<br> mali<br> wangyong<br> zhangtao<br> wangdan<br> lichao<br> liudan<br> liuchao<br> lizhiqiang<br> yanglei |
登陆成功
有一个搜索聊天记录的功能
每个聊天都是有一个sessionId遍历这个id就可以看到所有的聊天记录
修改弱口令登陆接口做限制
危害等级:高
漏洞Rank:12
确认时间:2015-07-3018:05
感谢支持!听说看电视,你要选择大乐视!需要乐视电视码,可以消息联系我。
暂无
有米有敏感的!
赶紧跑个客服妹纸
@带头大哥 擦 你rank涨的好快
@乐视网 话说几个月过去了,说好的公仔呢?
我看成了需要乐视电视吗。。。
@乐视网 友情提示,这个还没修~帐号密码还能登录进去
原文连接
的情况下转载,若非则不得使用我方内容。