漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-012679
漏洞标题:dota2官网后台漏洞
相关厂商:中国竞技游戏娱乐门户
漏洞作者: 止戈为武
提交时间:2012-09-25 10:49
修复时间:2012-11-09 10:50
公开时间:2012-11-09 10:50
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:6
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-11-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
绕过后台,直接进入后台,可以进行修改。
详细说明:
http://dota2.replays.net/这个网站是dota2的官网,我们进行扫描,后台地址为http://dota2.replays.net/hero/login.aspx
我们没有密码咋么办了?下来我们用google进行搜索site:dota2.replays.net inurl:aspx?id=
里面有很多页面,我们随便打开一个,其实已经进入后台
可以增减删除网站内容,里面有上传图片的地方,,可以拿shell。这么大的玩站有这漏洞,咋样修补你懂得。很辛苦的给个邀请码吧~~~
漏洞证明:
修复方案:
版权声明:转载请注明来源 止戈为武@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝