神刀安全网

漏洞标题: 车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

漏洞详情

披露状态:

2016-04-06: 细节已通知厂商并且等待厂商处理中
2016-04-06: 厂商已经确认,细节仅向厂商公开
2016-04-16: 细节向核心白帽子及相关领域专家公开
2016-04-26: 细节向普通白帽子公开
2016-05-06: 细节向实习白帽子公开
2016-05-21: 细节向公众公开

简要描述:

车易拍任意手机号用户登录,13888888888为例

详细说明:

注册车易拍的时候,用手机号登录,收到验证码999999,这验证码太6,怀疑所有验证码均为999999。

然后测试了下用13888888888,13188888888登录,验证码输入999999,登录成功。

http://www.cheyipai.com 点击右上角的卖车请登录 -> 通过手机号直接登录

漏洞标题:  车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

输入要登录的手机号,点击发送验证码,验证码填写999999,点击登录

漏洞标题:  车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

漏洞证明:

13888888888,13188888888登录截图

漏洞标题:  车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

漏洞标题:  车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

为了证明漏洞是真实的,并非 1388888888 等账号是测试渠道,我给自己号码进行了登录操作,果然收到了999999的验证码,而且可成功登录!

漏洞标题:  车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

修复方案:

版权声明:转载请注明来源 Hyjal@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 车易拍某处功能实现不当导致任意手机号用户登录(奇葩设计)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址