百合网注销任意用户

漏洞概要

缺陷编号:WooYun-2013-020574

漏洞标题:百合网注销任意用户

相关厂商:百合网

漏洞作者:空城

提交时间:2013-03-24 11:36

公开时间:2013-05-08 11:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-03-24: 细节已通知厂商并且等待厂商处理中
2013-03-25: 厂商已经确认,细节仅向厂商公开
2013-04-04: 细节向核心白帽子及相关领域专家公开
2013-04-14: 细节向普通白帽子公开
2013-04-24: 细节向实习白帽子公开
2013-05-08: 细节向公众公开

简要描述:

RT

详细说明:

在帮助中心看到可以用注册百合网的邮箱发邮件到[email protected],[email protected]登录邮箱,不过没测试,只测试了注销帐号。

先伪造邮件,From的邮箱就填你要注销的帐号的邮箱

然后过一会就可以收到成功注销帐号的邮件

登录下看看

已经成功注销了。

漏洞证明:

修复方案:

🙂

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-03-25 13:33

厂商回复:

确实存在漏洞,我们会尽快修复!多谢!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 苏南同学 白帽子 | Rank:41 漏洞数:5)

    肯定会忽略的,百合网是出了名的漏洞多多,不修不补,爱咋地咋地型的。
    还还有好几个百合的呢,我都不想提交,提交了也不会过,过了也会被忽略...不如不浪费感情。哈哈。

  2. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @苏南同学 哈哈哈 哈哈 你妹

  3. 2010-01-01 00:00 noah 白帽子 | Rank:381 漏洞数:36)

    ...

  4. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @苏南同学 哈哈哈 哈哈 你妹

  5. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @苏南同学 哈哈哈 哈哈 你妹

  6. 2010-01-01 00:00 流星warden 白帽子 | Rank:46 漏洞数:4)

    @空城 啊呜。。。

  7. 2010-01-01 00:00 苏南同学 白帽子 | Rank:41 漏洞数:5)

    @xsser @鬼魅羊羔 @px1624 hahaha 找我妹干啥?坏人,马燕来了

  8. 2010-01-01 00:00 空城 白帽子 | Rank:91 漏洞数:11)

    @苏南同学 马燕是谁?

  9. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    @马燕羊蝎子 @羊蝎子马燕

  10. 2010-01-01 00:00 http://www.wooyun.org/corps/百合网 白帽子 | Rank:0 漏洞数:0)

    @苏南同学 漏洞都发出来吧

  11. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    @百合网 然后一次性给忽略么、、o(∩_∩)o 哈哈

  12. 2010-01-01 00:00 http://www.wooyun.org/corps/百合网 白帽子 | Rank:0 漏洞数:0)

    @px1624 ....

  13. 2010-01-01 00:00 苏南同学 白帽子 | Rank:41 漏洞数:5)

    @px1624 我估计是这样的,@百合网 会一次性忽略掉,然后就处理完了。收工。哈哈。我不发,因为我提交也白提交,@xsser 会直接审核不过的...我就不提交了,[email protected]

  14. 2010-01-01 00:00 钱途 白帽子 | Rank:299 漏洞数:42)

    @px1624 笑死我了,百合网都无语了

  15. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    又是经典案例哈哈!

  16. 2010-01-01 00:00 笑傲浆糊 白帽子 | Rank:12 漏洞数:1)

    @苏南同学 求分享,自己玩玩

  17. 2010-01-01 00:00 p.f.s 白帽子 | Rank:5 漏洞数:2)

    百合网可以上非你莫属找8000

  18. 2010-01-01 00:00 小震 白帽子 | Rank:4 漏洞数:1)

    。。。伪造发信不算什么。。。收信才是最主要的。。。