新网互联域名解析系统设计不当(可登录部分用户后台解析域名)

漏洞详情

披露状态:

2014-03-25: 细节已通知厂商并且等待厂商处理中
2014-03-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

域名解析系统登录使用GET请求,密码被搜索引擎收录,可直接登录用户后台进行域名解析操作。

应该主要出现在代理商接口。

dns.com.cn1.jpg



http://mgt.dns.com.cn/main/api_login.php?Domain=cnwzrise&Suffix=.com&Passwd=9A***Bi&EppOwner=agent1***6



dns.com.cn.jpg

漏洞证明:

dns.com.cn2.jpg

修复方案:

对代理商使用POST登录

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-03-25 23:11

厂商回复:

最新状态:

暂无


漏洞评价: