神刀安全网

漏洞标题: 新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

漏洞详情

披露状态:

2016-03-25: 细节已通知厂商并且等待厂商处理中
2016-03-26: 厂商已经确认,细节仅向厂商公开
2016-04-05: 细节向核心白帽子及相关领域专家公开
2016-04-15: 细节向普通白帽子公开
2016-04-25: 细节向实习白帽子公开
2016-05-10: 细节向公众公开

简要描述:

(⊙o⊙)…如题

详细说明:

今天下午,账号无故退出导致发现了这个问题。账号只需要知道注册电话或邮箱(登录账号名),另外加上身份证号即可修改任意账号,我想说的是,身份证号对于现在信息大面积泄露的,对于各位大神么,还有什么不知道呢?

证明:

1、输入登录账号,进行召回密码

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

2、本来需要短信验证,但是我选择第二个没有收到短信按钮

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

3、输入身份证号

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

4、身份证号码输入正确就可修改了…

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

5、成功进入账号

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

我想这些图片应该够证明了吧?

漏洞证明:

今天下午,账号无故退出导致发现了这个问题。账号只需要知道注册电话或邮箱(登录账号名),另外加上身份证号即可修改任意账号,我想说的是,身份证号对于现在信息大面积泄露的,对于各位大神么,还有什么不知道呢?

证明:

1、输入登录账号,进行召回密码

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

2、本来需要短信验证,但是我选择第二个没有收到短信按钮

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

3、输入身份证号

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

4、身份证号码输入正确就可修改了…

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

5、成功进入账号

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

我想这些图片应该够证明了吧?

以国民老公为例:

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

漏洞标题:  新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

修复方案:

控制好账号体系,你们比我懂得多了。

版权声明:转载请注明来源 懒懒滴1994@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 新浪账户体系控制问题可导致修改部分用户密码(国民老公为例)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址