漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-018024
漏洞标题:360浏览器访问积分商城可进入他人账户,大量用户串号,神马情况?!
相关厂商:奇虎360
漏洞作者: 天原
提交时间:2013-01-28 22:55
修复时间:2013-03-14 22:56
公开时间:2013-03-14 22:56
漏洞类型:用户敏感数据泄漏
危害等级:低
自评Rank:1
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-28: 细节已通知厂商并且等待厂商处理中
2013-01-29: 厂商已经确认,细节仅向厂商公开
2013-02-01: 细节向第三方安全合作伙伴开放
2013-03-25: 细节向核心白帽子及相关领域专家公开
2013-04-04: 细节向普通白帽子公开
2013-04-14: 细节向实习白帽子公开
2013-03-14: 细节向公众公开
简要描述:
用户使用360安全浏览器6.0,访问积分商城进入他人账户
详细说明:
用户使用360安全浏览器6.0,采用账号登陆网络收藏夹,再切换到360积分商城页面,分别点击安全卫士专区,游戏专区,会发现登陆上其他用户的账号,且不止一个账号,在不同二页面的切换中可以发现登陆上了3,4个陌生人的账户.这可能造成用户积分的损失和信息的泄漏等问题。
漏洞证明:
密码:seewooyun
看不清楚可以使用“高清模式”或者下载原版,视频下载地址
http://pan.baidu.com/share/link?shareid=244396&uk=2231424999
新实验IE8(X64)浏览器访问360积分商城情况
http://pan.baidu.com/share/link?shareid=244739&uk=2231424999
依旧串号,所串号码与360浏览器访问时不同
修复方案:
无
版权声明:转载请注明来源 天原@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2013-01-29 14:19
厂商回复:
该问题是运营商对积分商城页面做了缓存导致的,并非浏览器漏洞(用firefox测试可以重现串号情况 http://l5.yunpan.cn/lk/Q6tIE3MMJVcVn)。
同时,这个问题只影响积分商城页面的局部展现,不影响购买、签到等积分消耗,也不影响二级密码等隐私逻辑。相关人员正在着手改进,尽量避免运营商缓存的影响。
最新状态:
暂无