--------------------------------------------------------------
本系列只做已公开漏洞搬运,来源网络,侵权即删
---------------------------------------------------------------
漏洞概要
缺陷编号:wooyun-2016-0227883
漏洞标题:优酷多个分站存在SSRF漏洞大礼包
相关厂商:优酷
漏洞作者:Sunshie
提交时间:2016-07-11 09:54
修复时间:2016-07-11 18:06
公开时间:2016-07-11 18:06
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
分享漏洞:
漏洞详情
披露状态:
2016-07-11:细节已通知厂商并且等待厂商处理中
2016-07-11:厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
详细说明:
具体危害请看前面的例子
漏洞证明:
随便找个站扫下端口:
修复方案:
禁止对内网资源访问,取外网资源的API部署在不属于自己的机房
版权声明:转载请注明来源 Sunshie@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-07-11 18:06
厂商回复:
首先感谢 Sunshie 对优酷安全的关注!经过与业务、运维沟通,确认漏洞中所涉及系统所在机房均与内网隔离,漏洞影响非常有限,暂不考虑修复。如果您有任何疑问,可随时与我们联系。再次感谢Sunshie!
最新状态:
暂无
漏洞评价:
评价
- 2016-07-11 10:02 | linger118927 ( 路人 | Rank:8 漏洞数:1 | 坐吃等死)
看你刷ssrf这么开心,来一波工具分享吧~~~O(∩_∩)O哈哈~
- 2016-07-11 10:18 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)
看你刷ssrf这么开心,来分享下心得把
- 2016-07-11 11:05 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
这个实践有点快哦
- 2016-07-11 11:24 | Best-shine ( 路人 | Rank:8 漏洞数:3 | 技术缺乏积淀,特来多加学习!)
SSRF 求技术分享啊
- 2016-07-11 11:32 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
@Best-shine 一看就是错过峰会的小伙伴
- 2016-07-11 11:44 | Best-shine ( 路人 | Rank:8 漏洞数:3 | 技术缺乏积淀,特来多加学习!)
@齐迹 我去了 只不过技术不是太好 想更多交流啊
注意:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!~
走之前记得点个“在看”哟~
原文始发于微信公众号(从放弃到入门):WooYun.org-优酷多个分站存在SSRF漏洞大礼包
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论