Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:139
HistoryOct 25, 2006 - 12:00 a.m.

Abidia OAnywhere认证信息泄露漏洞

2006-10-2500:00:00
Root
www.seebug.org
9
JSON

OAnywhere是运行在移动设备上用于在eBay上进行拍卖的工具。

OAnywhere在处理用户名和口令的传输时存在漏洞,攻击者可能通过嗅探攻击获取认证信息。

OAnywhere的更新请求会通过简单的HTTP POST包含认证。在这个过程中eBay的用户名/口令信息是通过明文发送的,这就可能导致帐号信息的暴露。

Abidia OAnywhere
厂商补丁:

Abidia

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.abidia.com/products/oanywhere


                                                POST /srvc/api.php?user=sethfogie&pass=mypass&serial=&imei=xxxx&site=US&name=sellHTTP/1.1
Host: api.abidia.com
User-Agent: Abidia-Wireless/3.0.2 (PocketPC; 480x640; WindowsMobile/5.1.70)
Accept: text/html
JSON