宝粉网(余额宝用户网站)平行越权漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-072425

漏洞标题：宝粉网(余额宝用户网站)平行越权漏洞

漏洞作者：大亮

提交时间：2014-08-18 16:05

修复时间：2015-09-16 10:50

公开时间：2015-09-16 10:50

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：14

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-18：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-09-16：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

小美：这个网站挖洞是不是好难哦，要不别挖了，我们干点别的吧
我：不不不，我一定会挖到的（想：到时候小美一定会尊敬我，崇拜我，爱上我，对我欲罢不能，嘿嘿）

详细说明：

听说和阿里相关的都有礼物或者现金奖励，是真的吗

漏洞证明：

见上图

修复方案：

增强权限控制

版权声明：转载请注明来源大亮@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-072425

漏洞标题：宝粉网(余额宝用户网站)平行越权漏洞

相关厂商：宝粉网

漏洞作者：大亮

提交时间：2014-08-18 16:05

修复时间：2015-09-16 10:50

公开时间：2015-09-16 10:50

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：14

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源大亮@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-072425

漏洞标题：宝粉网(余额宝用户网站)平行越权漏洞

相关厂商：宝粉网

漏洞作者： 大亮

提交时间：2014-08-18 16:05

修复时间：2015-09-16 10:50

公开时间：2015-09-16 10:50

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：14

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-072425"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 大亮@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：大亮

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源大亮@乌云