缺陷编号：wooyun-2016-0223453

漏洞标题：DaoCloud可批量扫号/可破解/附账号密码

相关厂商：daocloud.io

漏洞作者：UltraEdit

提交时间：2016-06-28 03:18

修复时间：2016-06-28 10:28

公开时间：2016-06-28 10:28

漏洞类型：账户体系控制不严

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

漏洞来源：http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 无

漏洞详情

披露状态：

2016-06-28：细节已通知厂商并且等待厂商处理中

2016-06-28：厂商已经确认，细节仅向厂商公开

2016-06-28：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

DaoCloud可批量扫号,可破解,附账号密码

详细说明：

DaoCloud登陆页面处,可批量扫描已注册用户

https://account.daocloud.io/signin

账号

账号:just密码:abc123

账号:kane密码:abc123

账号:novice密码:abc123

账号:snoopy密码:abc123

由于规则较少且不常用,故只扫描出这些.

漏洞证明：

提交地址:

1 2 3 4 5 6 7 8 9 10 11 12 13