漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-08065
漏洞标题:腾讯公益某活动可以修改别人任意个性签名
相关厂商:腾讯
漏洞作者: 红酒独醉
提交时间:2012-06-08 14:42
修复时间:2012-07-23 14:43
公开时间:2012-07-23 14:43
漏洞类型:CSRF
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-06-08: 细节已通知厂商并且等待厂商处理中
2012-06-11: 厂商已经确认,细节仅向厂商公开
2012-06-21: 细节向核心白帽子及相关领域专家公开
2012-07-01: 细节向普通白帽子公开
2012-07-11: 细节向实习白帽子公开
2012-07-23: 细节向公众公开
简要描述:
今天看到公益的一个活动,参与签名祝福活动。
就看了一下,修改签名用的是Get提交的。
修改好提交链接后发给别人,就可以把别人的签名改了。
我几个朋友还以为号被盗了呢。
详细说明:
http://npoapp.gongyi.qq.com/yuejuan5/qq_gxqm?qm_num=3&content=%e5%b8%ae%e6%82%a8%e8%a7%a3%e5%86%b3%e4%b8%80%e5%88%87%e7%bd%91%e7%bb%9c%e9%97%ae%e9%a2%98%ef%bc%8c%e8%81%94%e7%b3%bb_%e7%ba%a2%e9%85%92%e7%8b%ac%e9%86%89+Qq_429590191+-+www.xjquc.com&isajax=1&_=1339136194456
修改content后面的字符串
漏洞证明:
在QQ空间发布效果最好,直接打开就成功了。
修复方案:
加判断或尽量用POST
版权声明:转载请注明来源 红酒独醉@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-06-11 09:28
厂商回复:
非常感谢您的报告,我们已在跟进处理。
最新状态:
暂无