饿了么置广大饭店店主弱口令于不顾可被提现

漏洞详情

披露状态:

2014-03-10: 细节已通知厂商并且等待厂商处理中
2014-03-10: 厂商已经确认,细节仅向厂商公开
2014-03-20: 细节向核心白帽子及相关领域专家公开
2014-03-30: 细节向普通白帽子公开
2014-04-09: 细节向实习白帽子公开
2014-04-24: 细节向公众公开

简要描述:

虽然用户密码是用户的事情,但是用户的安全意识参差不齐,
ele.me作为大型餐饮服务类网站,也得有权利和义务提醒 饭店店主密码强度的问题,
尤其用户名可以由饭店的名称拼出来,而且还可以提现

详细说明:

事情经过是这样的,

啪俩啪俩敲了半天代码,然后就饿了...

想起早上收到的饿了么的传单,密码123456果断试之~靠,饭店老板你在逗我么?用123456做密码,

然后试了其他几个附近的餐饮,靠你们一定是和起伙来逗我=.=,都是123456

上后台,随便看了看,什么加菜单,减菜单,

改个提现银行卡然后提现

我靠,你发现随便支个小摊,赚得钱都比敲代码赚得多,............

不多说了.....直接上图



筷时代 kuaishidai 123456

南煲北面 nanbaobeimian 123456

麦香快餐 maixiangkuaican 123456

川湘居 chuanxiangju 123456

...

我觉得应该不再少数吧





漏洞证明:

Screenshot from 2014-03-10 09:41:44.png



Screenshot from 2014-03-10 09:54:05.png



Screenshot from 2014-03-10 09:49:48.png



Screenshot from 2014-03-10 09:48:45.png



Screenshot from 2014-03-10 09:53:12.png



Screenshot from 2014-03-10 09:53:29.png



Screenshot from 2014-03-10 09:53:48.png





Screenshot from 2014-03-10 10:02:55.png



Screenshot from 2014-03-10 09:55:42.png

修复方案:

你们可以的,10点半了,好饿啊,能不能给一顿饭吃~~~

版权声明:转载请注明来源 l137@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-03-10 23:06

厂商回复:

之前的帐号没有对弱口令做限制,上次乌云众测也发现了同样问题。目前这个提现都是人工审核和操作的,换卡的话是无法通过后面的验证的。所以只能提现到餐厅自己的银行卡的,无法转到非法的帐号上。

我们正在上线针对全体餐厅帐号的二次验证。谢谢报告!

最新状态:

暂无


漏洞评价: