当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038016

漏洞标题:360某处功能csrf(店铺可刷收藏)

相关厂商:奇虎360

漏洞作者: 小龙

提交时间:2013-09-26 18:21

修复时间:2013-11-10 18:22

公开时间:2013-11-10 18:22

漏洞类型:CSRF

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-26: 细节已通知厂商并且等待厂商处理中
2013-09-26: 厂商已经确认,细节仅向厂商公开
2013-10-06: 细节向核心白帽子及相关领域专家公开
2013-10-16: 细节向普通白帽子公开
2013-10-26: 细节向实习白帽子公开
2013-11-10: 细节向公众公开

简要描述:

嘻嘻,能日就日,不能让其他黑阔抢到= =

详细说明:

http://login.360.cn/?o=sso&m=info&func=QiUserJsonP1380012848446&show_name_flag=1关注
http://tao.360.cn/f_user_shop_api.html?shopid=2030&mod=del取消关注
测试对象:

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg

漏洞证明:

这里还有一发可以骗人的。至于被黑帽子利用后干嘛我们就不知道了。 自慰的,但是可以骗那些不懂得。 被黑帽子利用就不好啦。。

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


当然360你们也在反社工对吧,这个完全可以说是可以用到社工,就好比我帮userB骗他刷一个XXX, 金币为:998988 当然他会把账号密码发来,之后拉黑他,想干嘛就干嘛,说不定他里面还有金币,拿去积分抽奖, 淫荡的思路又开始了。。。
社会工程学强大,不解释 通用密码的我也不介意, 你们客户的安全隐患。。。 你自己懂~ 很多人为了钱什么都做,你懂得。。。

修复方案:

1:改成post提交,然后token ,以防被人csrf
2:我还是来坑安仔。。。
3:然后。。 没了。。 骗一个人完全可以说不是骗人,他会说是社工,你也没办法。。
4:之前借用id互换,然后截图,还真有人以为是真的- - 我无语。。 大哥。iPad的诱惑对于90后应该挺大的

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-09-26 18:49

厂商回复:

感谢您的反馈,该问题已经确认,我们正在联系相关技术人员修复。

最新状态:

暂无