当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037904

漏洞标题:优游网某处管理权限未做身份验证导致可修改12万个游戏内容

相关厂商:youyouwin.com

漏洞作者: 小龙

提交时间:2013-09-24 09:54

修复时间:2013-11-08 09:55

公开时间:2013-11-08 09:55

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-24: 细节已通知厂商并且等待厂商处理中
2013-09-27: 厂商已经确认,细节仅向厂商公开
2013-10-07: 细节向核心白帽子及相关领域专家公开
2013-10-17: 细节向普通白帽子公开
2013-10-27: 细节向实习白帽子公开
2013-11-08: 细节向公众公开

简要描述:

作为Flash行业崛起的一支新秀,优游共赢是国内首家专业的FLASH小游戏运营平台,率先在国内引入小游戏行业广告分成模式,是国内首家向百度应用开放平台输送Flash小游戏的网站,是联想装机软件Idealife小游戏频道的独家授权合作伙伴,是Sohu小游戏平台首批指定的内容提供商,是国家重点扶植项目“2010首届大学生绿色网络游戏动漫设计大赛”的重要协办单位。 目前优游共赢已与来自世界各地的千余名作者达成了稳定的合作关系,发布了数千款游戏作品,并与国内200多家知名的Flash小游戏站及门户网站建立了战略合作伙伴关系。 中国目前有4.2亿网民,可以说网络已经成为绝大多数人生活中必不可少的一部分。网络给人们提供的一个很重要的功能便是娱乐。人们在网上看新闻,听音乐,看电影…游戏自然也是其中很流行,并且越来越流行的休闲方式。相比一些大型的网游,在线小游戏无需进行繁琐的下载、安装及注册流程,直观而容易理解,有趣却不易沉迷,因而逐渐受到越来越多网民的喜爱。我们欢迎更多的优秀作者加入优游原创平台,在提升自我价值的同时,向着更高的目标迈进。
合作媒体
7K7K小游戏 闪翼游戏 321小游戏 易玩小游戏 快玩游戏 773小游戏 来玩小游戏 太平洋小游戏 酷爱小游戏 29293小游戏 商都小游戏 小黑游戏 闹乐网 766动漫 幻方游戏
好像还有搜狐的....

详细说明:

遍历了一下是 1 —————————— 125973
数量庞大。和7k7k小游戏貌似是合伙的。

漏洞证明:

1.gif

2.gif

3.gif

4.gif

5.gif

6.gif

7.gif

8.gif


结合说下漏洞,如果我全部遍历一下改下名字,改成 hacker by: QQ:
有人说站长不给你审核你改毛啊, 呵呵,125973 这数字多庞大。12万,管理怎么也要改几个月把= = 有人会说如果删掉呢,呵呵,如果删掉他的swf怎么搞出来? 就算搞出来他也要删12万,对吧 你还在嫉妒网络红人吗? 下一个游戏达人就是你= 。=

修复方案:

我不是故意的。我还是玩游戏的。来一发礼物?

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-09-27 10:57

厂商回复:

感谢漏洞作者反馈,漏洞已解决

最新状态:

暂无