漏洞概要 关注数(24) 关注此漏洞
缺陷编号: WooYun-2016-178985
漏洞标题: 斗鱼TV两处功能平行权限漏洞
相关厂商: douyu.tv
漏洞作者: DeadSea
提交时间: 2016-03-02 14:53
公开时间: 2016-04-16 15:05
漏洞类型: 未授权访问/权限绕过
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 越权操作
漏洞详情
披露状态:
2016-03-02: 细节已通知厂商并且等待厂商处理中
2016-03-02: 厂商已经确认,细节仅向厂商公开
2016-03-12: 细节向核心白帽子及相关领域专家公开
2016-03-22: 细节向普通白帽子公开
2016-04-01: 细节向实习白帽子公开
2016-04-16: 细节向公众公开
简要描述:
看了5个月的直播。终于给我找到了
详细说明:
看了这么久的直播。不来一发真的好吗?
斗鱼有个名曰yuba的论坛
http://yuba.douyutv.com/
今天闲着没事干,就随便挖了
首先用自己的号在某个地方回复下,点击删除抓包
可以看到
我们回复的是在41楼 我们修改成1
这是修改前的1楼
发包后看看
会出现修改失败,然而并没有什么卵用
刷新下就可以看到 1楼消失了
漏洞证明:
qid是我们帖子的地址
修改成720630271456130844
帖子存在:
发包看看?
修复方案:
增加验证~
版权声明:转载请注明来源 DeadSea@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2016-03-02 15:05
厂商回复:
感谢提交漏洞
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评价
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论