多玩YY客户端BUG（泄露用户登录IP造成用户网络中断）

利用代码

[dyimg]hfs图片地址[/dyimg]

YY上玩DDOS的太多，相信官方也很关注！所以用户的IP是很重要的！

利用代码

[dyimg]hfs图片地址[/dyimg]

我就搞不懂为什么客户端能发这种标签！是不是要添加些过滤代码

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-10-01 18:38

厂商回复：

最新状态：

暂无

1. 2014-07-06 18:41 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫，我笑世人看不穿~)

   0

   噢 大神就是抓用户IP 然后cc？

   1# 回复此人

2. 2014-07-06 18:56 | 小怿 ( 实习白帽子 | Rank:31 漏洞数:7 | )

   0

   ·-· 这个网络中断是怎么中断的？

   2# 回复此人

3. 2014-07-06 20:12 | 风花雪月 ( 实习白帽子 | Rank:67 漏洞数:49 | []+[]|[]-[][][][][]%[][]|[]/[]%[][]|[]/[...)

   0

   @小怿 ddos你懂的

   3# 回复此人

4. 2014-07-06 20:30 | 小怿 ( 实习白帽子 | Rank:31 漏洞数:7 | )

   0

   @风花雪月 原来如此，发送自己域名下的图片，当用户点击图片后，获得用户ip？

   4# 回复此人

5. 2014-07-06 21:35 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

   0

   YY流传已久的打主播方法?

   5# 回复此人

6. 2014-07-06 21:40 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

   0

   主播口中的鬼畜,好久了

   6# 回复此人

7. 2014-07-06 22:11 | ddy ( 实习白帽子 | Rank:45 漏洞数:17 | 其实第一次要我挖洞我是拒绝的。因为，你不...)

   0

   @疯子 又不是网站，cc有何用？ 发点包过去就会掉线吧，和QQ发图片弄到IP地址差不多吧？

   7# 回复此人

8. 2014-07-06 22:15 | 小怿 ( 实习白帽子 | Rank:31 漏洞数:7 | )

   2

   @ddy WooYun: 多玩最新版本YY客户端无验证调用外部数据(可批量挂马) 和这个原理应该差不多，给主播发个图片，在加上几句话，比如，这个人你认识吗，这个人是你吗，这个人跟你特别像之类的话，引主播的好奇心，当主播一点击图片，ip就被记录下来了。

   8# 回复此人

9. 2014-07-07 10:43 | 小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)

   0

   YY流传已久的打主播方法?

   9# 回复此人

10. 2014-07-31 01:43 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 私人QQ:49658 技术交流Q群:511123 大神土...)

    0

    YY流传已久的打主播ip方法.....用第三方网站.肯定刷不了rank!!

    10# 回复此人

11. 2014-08-19 07:58 | 小怿 ( 实习白帽子 | Rank:31 漏洞数:7 | )

    0

    其实吧。。YY在七月初就已经做过相应的处理，只是你们没发现而已。。你们可以点系统设置，往下面拉，有个外链图片点击加载，默认是勾选的。。只要你不点掉，只要你不乱点别人给你发的图片，是获取不到ip的。

    11# 回复此人