当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(3) 关注此漏洞

缺陷编号: WooYun-2011-03337

漏洞标题: 人人网登录时帐号密码明文发送

相关厂商: 人人网

漏洞作者: X-Secure

提交时间: 2011-11-17

公开时间: 2011-11-22

漏洞类型: 账户体系控制不严

危害等级: 低

自评Rank: 5

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org

Tags标签: 明文密码

漏洞详情

披露状态:

2011-11-17: 细节已通知厂商并且等待厂商处理中
2011-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人人网登录时帐号密码明文发送

详细说明:

email=明文帐号&password=明文密码


在同一局域网中可以轻松获取到他人的帐号密码

漏洞证明:

抓包即可看到

修复方案:

加密后再发送

版权声明:转载请注明来源 X-Secure@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-11-19

厂商回复:

漏洞Rank:1 (WooYun评价)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评论

  1. 2011-11-19 12:05 | livers ( 实习白帽子 | Rank:19 漏洞数:2 | 全能骑士不如沉默术士)
    0

    这个不算漏洞把

    回复此人
  2. 2011-11-19 12:43 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 你说这个城市很脏,我觉得你挺有思想)
    0

    这个主要是国内的安全意识还没有跟上 用户如果知道自己的密码会在网络上明文传输 他能意识到这个并且拒绝在这样的网站登录的话 就好了~~对于Google肯定是个漏洞,对于人人这样的公司 我觉得他们不会认为

    回复此人
  3. 2011-11-19 13:04 | X-Secure ( 实习白帽子 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)
    0

    这东西说打不大,说笑不笑。毕竟是可能泄露账号密码的一个问题。重视安全的公司看来这就是大问题,不重视安全的公司看来这就不是问题……但愿都能重视起来吧~

    回复此人
  4. 2011-11-22 09:39 | 笨猪 ( 普通白帽子 | Rank:37 漏洞数:8 | Jarett|最近忙,洞发得少。。)
    0

    晕,疼迅的clientkey也是明文传输的,拿了之后一段时间内可以登空间登邮件等,也很危险的。。

    回复此人
  5. 2011-11-22 21:40 | coL.19Th ( 实习白帽子 | Rank:5 漏洞数:1 | coL.19Th)
    0

    前提是必须局域网抓包啊

    回复此人
  6. 2011-11-22 22:47 | X-Secure ( 实习白帽子 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)
    0

    也不见得就一定是局域网抓包。去网吧上网的时候呢?网吧管理员很轻易能获取吧~或者本地运营商被入侵?被最好还是加密后再传输的保险~~

    回复此人

登录后才能发表评论,请先 登录

Copyright © 2010 www.wooyun.org All Rights Reserved. 沪ICP备11033592号-1