[公开漏洞]新网某代理商平台部分用户密码泄漏及支付消费风险

来源：WooYun　浏览：1037次　时间：2014-05-24

新网某代理商平台部分用户密码泄漏及支付消费风险相关厂商：新网华通信息技术有限公司漏洞作者：不痛不痒提交时间：2014-04-08 10:34 公开时间：2014-05-23 10:35 漏洞类型：账户体系控制不严危害等级：高自评Rank：20 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：设计缺陷/边界绕过安全意识不足设计不当后台地址泄露安全意识不足漏洞详情披露状态：

2014-04-08：细节已通知厂商并且等待厂商处理中
2014-04-08：厂商已经确认，细节仅向厂商公开
2014-04-18：细节向核心白帽子及相关领域专家公开
2014-04-28：细节向普通白帽子公开
2014-05-08：细节向实习白帽子公开
2014-05-23：细节向公众公开

简要描述：

代理商平台存在支付缺陷不需要（密码验证）即可消费。
发现一百二十万的账户，提现发财了= =

详细说明：

说好了不聊群里聊漏洞的，说好了，休息会儿的！手抽筋啊！手贱啊！

还是进入代理商平台了!

WooYun: 新网某运营平台存在弱口令（部分域名解析、空间等安全)

都是店小二惹得祸,

(调侃下请记住我是xinnet的店小二，请记住我的密码是123456)

……

此处省略，一百二十万的账户，提现发财了= =