神刀安全网

漏洞标题: APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

漏洞详情

披露状态:

2016-02-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

2001年8月,中国子公司Fast RETAILING(Jiangsu) Apparel CO.,LTD江苏成立

2001年9月,首家海外店铺于英国开业(共4家)

2002年4月,为强化设计能力,成立UNIQLO设计研究(UNIQLO Design Studio)

2002年5月,英国店铺数量增加至15家

2002年9月,食品事业子食公司FR FOODS CO.,LTD成立

2002年9月,中国首间 UNIQLO店于上海(共2家)开业

2002年11月,柳井正就任代表取缔役会长兼CEO、玉缘元一就任代表取缔役社长兼COO

2003年11月直营店铺数量超过600家

2005年9月至10月,多间海外店铺陆续开业,包括美国(3家)、南韩(3家)、中国北京(2家)及中国香港(1家)

2009年,日本百货衰退达10.1﹪,优衣库却逆势成长,年获利达1086亿日元,较前一年增长24﹪.

优衣库在中国品牌服装零售业率先推出网购业务,其网络旗舰店于2008年4月16日,Uniqlo的淘宝商城店铺和外部网店同时发布,开店后平均每天销售2000件。另外,优衣库下个月还将在上海新开3家门店,使上海的门店总数达到11家;优衣库2012年在中国的门店总数将在数量上翻一番。

据介绍,优衣库已在武汉、北京、天津、石家庄 、杭州、上海、南京、重庆、成都、广州、青岛、沈阳、长春、大连、济南、西安、哈尔滨、绵阳、齐齐哈尔等内地重要城市布点。其中在北京已经拥有5家门店,据说,到2010年北京的门店数将达到10家;而成都继上月开出第一家门店后,即将开出第二、第三家门店。在2009年9月12号开业的优衣库大连店也是东北地区的店,也标志着优衣库正式登陆东北地区。2009年9月19日,UNIQLO在天津的国际商场店盛大开幕。2009年11月 优衣库在杭州利星的旗舰店开张。2010年5月,优衣库落户于青岛百丽广场的旗舰店开张。2011年8月,优衣库落户济南恒隆广场。2011年9月,在济南和谐广场开第二家门店。2012年9月,在南宁华润中心万象城的旗舰店开业。2012年10月20日,西安开元商城店、民生新乐汇店两店齐开。2012年12月21日,在四川绵阳万达广场落户。

据悉,优衣库在中国、东南亚、欧洲等多个地区都有加工点,其中中国的各种加工企业多达几百家。优衣库的商品中有90%是在中国生产的。截至2009年上半年,日本优衣库在中国14个城市开设的服装专卖店数量共计32家。

漏洞证明:

昨天姐姐在优衣库给我买了两条裤子,今天想起来下载个优衣库APP玩玩,顺手测试一下,下载APP后找回密码,输入土豪号码13888888888

漏洞标题:  APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

漏洞标题:  APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

然后抓包

漏洞标题:  APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

暴力破解验证码,太短了,就4位

漏洞标题:  APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

爆破成功,手机上返回输入验证码,再输入新密码,OK,密码修改成功

漏洞标题:  APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

看下面的土豪号码

漏洞标题:  APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

修复方案:

搞个6位数的有效时间验证码吧!

我真希望这是个好厂商,能正视安全问题。比如立(gei)即(dian)修(li)复(wu)。

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: APP安全之优衣库可修改数千万任意用户密码(土豪号码13888888888为例)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮