漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-076803
漏洞标题:某互金平台CSRF一枚
相关厂商:上海拍拍贷金融信息服务有限公司
漏洞作者: lucky_fn
提交时间:2014-09-22 11:35
修复时间:2014-09-27 11:36
公开时间:2014-09-27 11:36
漏洞类型:CSRF
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-09-22: 细节已通知厂商并且等待厂商处理中
2014-09-27: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
设置安全问题画面要先进行安全问题验证才可以重设安全问题。
由于存在CSRF,可以绕过安全问题验证,直接重设。
详细说明:
漏洞证明:
使用新登录的安全问题,通过了验证。证明有登录成功。
修复方案:
DB登录时加token
版权声明:转载请注明来源 lucky_fn@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-09-27 11:36
厂商回复:
最新状态:
2014-09-27:该漏洞已修复。
2014-09-28:该漏洞当天我们已经修复,由于未及时的查看乌云的状态,导致该漏洞时间过久被忽略掉了,谢谢漏洞作者。