手机行业安全之奔跑吧兄弟VIVO智能手机某重要系统大量账户体系控制不严(影响内部运营数据\各种系统\账户密码\等敏感信息)

漏洞概要

缺陷编号:WooYun-2015-0117929

漏洞标题:手机行业安全之奔跑吧兄弟VIVO智能手机某重要系统大量账户体系控制不严(影响内部运营数据\各种系统\账户密码\等敏感信息)

相关厂商:vivo智能手机

漏洞作者:管管侠

提交时间:2015-06-03 11:38

公开时间:2015-07-22 13:18

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-07: 厂商已经确认,细节仅向厂商公开
2015-06-17: 细节向核心白帽子及相关领域专家公开
2015-06-27: 细节向普通白帽子公开
2015-07-07: 细节向实习白帽子公开
2015-07-22: 细节向公众公开

简要描述:

周周看跑男,看好你们的手机了,香槟金或全黑那款,有送么?
友情检测过小米、酷派、OPPO等等,当前是vivo,下面可能是魅族等等
觉得敏感在下面留言喊审核人员打码!
奔跑吧,兄弟!

详细说明:

邮箱账户体系控制不严邮箱内部往来的内容涉及财务、采购、投标、各种系统账号密码、运营数据、第三方客户沟通数据、文档等等企业运营的敏感数据,就不一一体现了

.......还有很多人的也有相似问题,测试了的密码类型就这几种,换几种会有更多,全员改密码吧

漏洞证明:

联通第三方账户登录:

合作企业登录:这系统一看就有注入点

还有其他的一些系统http://usrsys.inner.bbk.com/login.jsphttp://theme.inner.bbk.com:10080/login.jsphttp://smsbook.bbk.com:8080/login.jsphttp://sysupgrade.bbk.com:7080/login.jsphttp://zs.vivo.com.cn/admin/login.php......本来想vpn撕进内网的,邮件里还真没找到,但是用那几个领导邮箱发钓鱼邮件,应该还是很好搞定的不影响你们正常业务了...点到为止吧

修复方案:

奔跑吧,兄弟!有节操的白帽子....

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-06-0713:16

厂商回复:

感谢关注

最新状态:

暂无

评价

  1. 2010-01-01 00:00 李旭敏 白帽子 | Rank:562 漏洞数:59)

    你是要当带头大哥的节奏啊··

  2. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    要逆天

  3. 2010-01-01 00:00 Q1NG 白帽子 | Rank:117 漏洞数:12)

    各厂商已哭瞎!

  4. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    我的洞⋯⋯

  5. 2010-01-01 00:00 大山 白帽子 | Rank:0 漏洞数:0)

    防不胜防

  6. 2010-01-01 00:00 http://www.wooyun.org/corps/盛大在线 白帽子 | Rank:0 漏洞数:0)

    2分

  7. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @盛大在线 10分+ 信么。

  8. 2010-01-01 00:00 我能拒绝么 白帽子 | Rank:8 漏洞数:1)

    @Q1NG 各厂商已哭瞎!

  9. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    厂商好像没弄明白如何确认漏洞吖

  10. 2010-01-01 00:00 捕蝇者 白帽子 | Rank:0 漏洞数:0)

    还真有这厂商

  11. 2010-01-01 00:00 冰海 白帽子 | Rank:70 漏洞数:5)

    @管管侠,@猪猪侠喊你回家吃饭!

  12. 2010-01-01 00:00 hh2014 白帽子 | Rank:41 漏洞数:4)

    名字好长啊

  13. 2010-01-01 00:00 充电·宝宝 白帽子 | Rank:0 漏洞数:0)

    这个强大

  14. 2010-01-01 00:00 机器猫 白帽子 | Rank:901 漏洞数:90)

    别搞魅族啊,我的手机就是魅族。

  15. 2010-01-01 00:00 F4K3R 白帽子 | Rank:243 漏洞数:21)

    论标题长度的重要性!

  16. 2010-01-01 00:00 晏子 白帽子 | Rank:0 漏洞数:0)

    @F4K3R 论乌添加云宽版的重要性

  17. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    @vivo智能手机 厂商看完不确认、不处理,再过两天就忽略了公开了

  18. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    大爱vivo,快确认吧,不想成为罪人

  19. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    名字缩拼怎么生成的呀?

  20. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @vivo智能手机 快认领下洞啊啊

  21. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @管管侠 腾讯邮箱怎么爆破啊?︶︿︶

  22. 2010-01-01 00:00 tSt 白帽子 | Rank:0 漏洞数:0)

    @管管侠 腾讯邮箱怎么爆破啊?︶︿︶

  23. 2010-01-01 00:00 Me_Fortune 白帽子 | Rank:144 漏洞数:18)

    @DloveJ 看社区