某富豪相亲软件服务器非授权访问漏洞

编号71497
Urlhttp://www.wooyun.org/bug.php?action=view&id=71497
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题某富豪相亲软件服务器非授权访问漏洞
漏洞类型
厂商富豪相亲会
白帽子Vicent
提交日期2014-08-08 09:48:00
公开日期2014-09-22 09:48:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签敏感信息泄露 MongoDB 富豪相亲会
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank0
漏洞简介
某富豪相亲软件服务器MongoDB非授权访问漏洞
漏洞细节

亲爱的朋友们有福了,某富豪相亲软件数据泄漏。。
富豪相亲会貌似是一个IOS应用。本人ds一枚,没用过。数据库采用的MongoDB。
有非授权访问漏洞。

003.jpg


数据信息泄漏,大约1w多用户。
富豪。。相亲。。。。到底多少是富豪多少人去相亲呢?

POC

QQ图片20140807224848.jpg


通过获取的信息可以登录后台

QQ图片20140807224852.jpg


用户起始id100000,大约10000多用户。

QQ图片20140807224901.jpg


系统举报管理功能
仅限测试,并未删除或者编辑任何资料。请放开我的水表,也不要送快递。

修复方案

管理来乌云学堂学习学习把,控制好网站或者其他程序使用的连接用户权限。

状态信息 2014-08-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-22: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

相啥亲啊?这MS跟400电话一样吧,都是月泡的平台~

小卖部部长02014-09-22 11:08:00