漏洞标题 DaoCloud可以批量扫描/破解/帐户密码 相关制造商 Daocloud.io 漏洞作者 用UltraEdit 提交时间 2016-06-28 03: 18 公共时间 2016-06-28 10: 28 漏洞类型 缺乏对帐户系统的控制 危险等级 在 自我评估等级 10 漏洞状态 制造商已修复 标签标签 漏洞详细信息 DaoCloud登陆页面，可以批量扫描注册用户 https://account.daocloud.io/signin 帐号 帐号:只是密码: abc123 帐号:凯恩密码: abc123 帐号:新手密码: abc123 账号:史努比密码: abc123 由于规则很少且不常用，因此仅扫描这些规则。 漏洞证明： 提交地址: POST/access-token HTTP/1.1 接受: application/json，text/plain，*/* 内容类型: application/json; charset=utf-8 Referer:https://account.daocloud.io/signin 接受语言: zh-CN 来源:https://account.daocloud.io Accept-Encoding: gzip，deflate 用户代理: Mozilla/5.0（Windows NT 10.0; Trident/7.0; rv: 11.0）像Gecko 主机: api.daocloud.io 内容长度: 51 连接:关闭 缓存控制:无缓存 {'email_or_mobile':'§Wooyun§'，'password':'abc123'} 否: 1登录页面扫描注册用户 否: 2已成功扫描帐户 否: 3成功登录到用户页面 修理计划： 版权声明：请注明出处。 UltraEdit的@乌云