缺陷编号:WooYun-2015-0126168
漏洞标题:某应用市场安全商漏洞之任意用户密码秒改,批量修改几十万用户密码
相关厂商:nduoa.com
漏洞作者:黑暗游侠
提交时间:2015-07-11 19:43
公开时间:2015-07-16 19:44
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
2015-07-11: 细节已通知厂商并且等待厂商处理中
2015-07-11: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-07-16: 厂商已经主动忽略漏洞,细节向公众公开
某应用市场安全商漏洞之任意用户密码秒改,批量修改几十万用户密码
N多网([三月平均]:日均 PVPV90000,日下载量15000),由于网站漏洞危害巨大,涉及几十万个APP应用,58万会员信息,所以暂时把问题厂商写成“某应用市场”,希望乌云管理员见谅,等厂商认领以后再改成N多网,谢谢!1. http://www.nduoa.com/ N多网,国内最先致力于Android开发与应用的先行者,成功创办国内最大的Android用户社区,并有志于成为中国最优秀的移动互联网综合服务提供商之一。
首页注册账号---退出----忘记密码-----填写账号和邮箱-----邮箱收到找回密码邮件
1 |
http://market.nduoa.com/resetPassword/?a=4be7%2FFuan2UiUHaKSNmccq46GJGCvp%2BlV6Ovy9D98gJl1Q&b=d736WV5V89rXp8fUROr5wxQmjifPTJTFgd1dzFeG7BALDr%2F3yp2T |
最逗的是,这个链接是有时间范围的,大概几个小时吧
1 |
几个小时内随你重置多少次都没问题 |
抓包修改username即可重置任意账户的密码
然后继续访问该链接,继续重置其他的,很方便,直接burp发包fuzzing,方便快捷,所有账户密码可在10分钟内全部修改完成
危害等级:无影响厂商忽略
忽略时间:2015-07-1619:44
漏洞Rank:15 (WooYun评价)
暂无
找回密码,邮箱连接。然后修改元素用户名。修改成功。
最安全的安卓游戏、安卓软件下载站 我也是醉了
@鬼见愁 恩,并且没有做token和设置expire,导致可以在1小时内无限制fuzzing修改全站用户密码
@zeracker 就像补天还自称全球最大的漏洞平台呢,不能信。
楼主我遇到一群小学生怎么办??非要说剑心是首歌??
@黑暗游侠 某数字用一句俗语形容就是 树不要皮必死无疑 ·····你懂得
@天地不仁 以万物为刍狗 恩呢,赞同
@Format_smile 不是女优么?
真是…吊爆了
原文连接
的情况下转载,若非则不得使用我方内容。