当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060951

漏洞标题:百度和360大战以后临时决策遗留下的钓鱼风险问题

相关厂商:百度

漏洞作者: 混世魔王

提交时间:2014-05-16 08:23

修复时间:2014-05-16 11:02

公开时间:2014-05-16 11:02

漏洞类型:钓鱼欺诈信息

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-16: 细节已通知厂商并且等待厂商处理中
2014-05-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

百度和360大战以后,临时决策,遗留下的钓鱼风险问题。各种假机票,假银行,无节操了

详细说明:

是不是漏洞,关键看利用的价值,这个问题一直存在,只是没人关注而已。
互联网的的人士应该都知道百度和360大战,不知道去百度,
百度晚上临时决策,修改了页面的输出和链接加密。
于是遗留下的钓鱼风险问题。

漏洞证明:

已 搜索“混世魔王”为例,输出的链接,只显示前面的21个字母的URL。

.jpg


而且要点击这个链接的时候,是
http://www.baidu.com/link?url=rBiHXtUaIk-m8bNz3fUiG6RSHNGKlwv-WZWi2iqAjUFdqmxGr2WYt9MhQaVaBVhk
于是,可以被钓鱼链接利用。
我们可以做一个,indexitems.taobao.com-action.com 的钓鱼网站
百度只输出 21个字母的URL,会给百度过滤成为 indexitems.taobao.com
而在点击链接中看不到。很容易欺骗用户点击。
接下来,还需要继续伪装,来提高成功率。少儿不宜,手法不在这里透露了。

修复方案:

要不给多给点分,就别修复了,你看过段时间假机票,假银行,各种钓鱼的来不来侵袭,
你懂的。

版权声明:转载请注明来源 混世魔王@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-16 11:02

厂商回复:

对小白用户而言,只要title一致就会做点击。所以通过显示连接无法从根本上解决这个问题。目前我们已经对网站做安全检测,并开启诚信星计划。对因搜索受损的用户进行补偿。也欢迎遇到钓鱼网站向我们反馈。感谢对百度安全的支持

最新状态:

暂无