记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

大麦票务网站疑似会员数据泄露总量达到上百万

2015-10-10 15:25

首先说明,大麦网站会员数据的库子并不是我拖的,我是在一个社工库论坛所见到,然后下载下来,供大麦官方认证下是否是大麦网站的会员数据!!!!如果是,希望大麦官方可以认真对待这个事件,如果不存在,那么就当我没提交过此漏洞!!!

漏洞证明:

1.首先我们访问大麦官方(www.damai.cn)这是他的官方网站。首先我们访问下!

大麦1.png



2.看下我在社工库一个网站下载的数据。

大麦2.png



大麦3.png



3.先解开MD5

4.jpg



5.png



4.我们尝试登录

成功登录.png



我们可以看到很多东西,下面截图证明。

数据泄露.png



有可能有人说 就这一个怎么能证明呢?那我们继续测试!

继续.png



解密.png



再次成功.png



测试就到这里,希望大麦网认真对待!



会员数据,泄露了手机号,订单,收货地址等。



下面提供一些大麦网会员数据供大家验证 也供厂商验证!!!

[email protected] zhongzhan 纪小展



[email protected] langmanfeiyang 玥宁



[email protected] 082218 夏艳晴

三个够了吧 大家测试吧!!!

修复方案:

其实做为一名普通的白帽子,我很想对厂商说一句话,白帽子挖洞不容易,不要把我们的挖洞那辛勤的汗水辜负了,看到的漏洞,希望厂商认真对待,我们挖洞不容易,我相信厂商知道我说的什么意思。漏洞就算忽略了,感觉问题不大也要补上,补总比不补强,把网站变的安安全全的,这就是厂商需要做的。说的有点多,只是希望,厂商能认真对待网站的不足!



修复方案:通知大麦网站会员更改密码!谢谢!!!


知识来源: www.wooyun.org/bugs/wooyun-2015-0136994

阅读:115430 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“大麦票务网站疑似会员数据泄露总量达到上百万”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云