WooYun.org

UC无线营销平台存在严重漏洞，影响非常大！！主要的漏洞有以下两个：
1.上传页面权限未验证+存在Fckeditor测试上传页面
2.存在ngnix解析漏洞。
首先说一句我纯粹是路过的，只是想研究UC广告营销方式，当时恰好看到了UC广告主平台（地址http://ads.uc.cn/），下载了介绍文件大概知道了UC广告的流程。但后来一不小心发现这台服务器上还存在UC无线营销平台（地址http://115.238.228.138:8050/console/），这个平台控制着UC浏览器所有的内显广告。 影响面非常大。
如果被不法之徒利用将产生巨大经济损失(介绍文件里写某些广告位甚至达到了一天十万RMB的价格……)

过程：
1.上传页面，没有权限限制，直接传。

2.ngnix解析漏洞，这个已经很出名了，具体方法不写了。

3.菜刀下发现权限控制很不严格。

4.进入UC营销平台后台，当时看到页面就把我吓坏了……权限无比大，影响极其大。

！5.很重要的一点：友情检测，啥核心数据都没动，删除小马，上WOOYUN反馈问题。
最后我想说一下，好在我是友情路过，道德底线还是有的。如果被不法之徒利用UC将每天损失上十万元的RMB，影响非常非常的大。而且你想广告内容似乎是可以修改的，如果被利用放了手机木马页面什么啊影响就更大了。毕竟UC有那么大的用户基数。总之影响非常大！问题很严重！但这些漏洞都是很常见的，这种问题出现在UC这种大公司实在很不应该，希望问题尽快修复。当然，挽救了这么大的经济损失如果有小礼品什么的我还是很高兴的~哈哈。先修漏洞要紧。