[公开漏洞]域名账户安全之易名中国可撞库

域名账户安全之易名中国可撞库 相关厂商： 易名中国 漏洞作者：小胖胖要减肥 提交时间：2014-06-02 00:40 修复时间：2014-06-03 09:12 漏洞类型：设计缺陷/逻辑错误 危害等级：高 自评Rank：15 漏洞状态： 厂商已经修复 漏洞来源：http://www.wooyun.org Tags标签： 设计缺陷/边界绕过 漏洞详情 披露状态：

2014-06-02：细节已通知厂商并且等待厂商处理中
2014-06-03：厂商已经确认，细节仅向厂商公开
2014-06-03：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

域名账户安全之----易名中国大数据

详细说明：

参考http://zhuanlan.zhihu.com/wooyun/19760786

POST /cas/login/preLogin HTTP/1.1



name=afcom@126%2ecom&psw=121314aa&captcha=&key=UGOvus&sid=1&domainname=my.ename.cn&backurl=http%3A%2F%2Fwww.ename.net%2F

漏洞证明：

修复方案：

参考http://zhuanlan.zhihu.com/wooyun/19760786

版权声明：转载请注明来源 小胖胖要减肥@乌云 漏洞回应 厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2014-06-03 09:11

厂商回复：

撞库从理论上说不可避免，即使登录成功，由于易名的系统有手机验证、安全问题验证等多重保护，只要用户都有设置，即使被登录后也不会有较大损失。同时，我们会增加相同ip尝试登录多次的限制及验证码等，并开发登录验证手机等手段供用户自定义。

最新状态：

2014-06-03：撞库从理论上说不可避免，即使登录成功，由于易名的系统有手机验证、安全问题验证等多重保护，只要用户都有设置，即使被登录后也不会有较大损失。同时，我们会增加相同ip尝试登录多次的限制及验证码等，并开发登录验证手机等手段供用户自定义。