天天网任意用户信息遍历漏洞

admin

139587
文章

114
评论

2015年8月11日15:51:34评论622 views字数 228阅读0分45秒阅读模式

摘要

2014-11-16：细节已通知厂商并且等待厂商处理中
2014-11-16：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-11-21：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(7) 关注此漏洞

缺陷编号： WooYun-2014-83426

漏洞标题：天天网任意用户信息遍历漏洞

漏洞作者： hkAssassin

提交时间： 2014-11-16 10:17

公开时间： 2014-11-21 10:18

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：敏感接口缺乏校验

2人收藏

漏洞详情

披露状态：

简要描述：

任意用户遍历

详细说明：

code 区域

用自己的账号登陆，用户地址处点击修改，遍历Ajax_CallBackArgument0这个参数即可。

漏洞证明：

code 区域

用户地址处点击修改，遍历Ajax_CallBackArgument0这个参数即可。

修复方案：

ps:你懂得，求高rank????????!!!!!!!!!!!!!!

版权声明：转载请注明来源 hkAssassin@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-11-21 10:18

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

评价

2014-11-21 10:50 | 笨小孩 ( 实习白帽子 | Rank:50 漏洞数:7 | 逆水行舟，不进则退。)

2

无影响?

1# 回复此人
2014-11-21 11:11 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

1

@笨小孩真tm逗比！！无语了！！

2# 回复此人
2014-11-21 11:12 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

1

@疯狗求补rank!!!!!!!

3# 回复此人
2014-11-21 12:17 | 真旅网集团(乌云厂商)

1

哈哈，不厚道啊，你看给我们提交的漏洞真无影响的我们都认可并且发送礼物~

4# 回复此人
2014-11-21 12:18 | 真旅网集团(乌云厂商)

1

这也叫无影响。。天天用户数据不值钱?

5# 回复此人
2014-11-22 10:03 | 追寻 ( 普通白帽子 | Rank:210 漏洞数:46 | 学习新姿势中)

1

这也叫无影响你们企业如果不在意信息安全你让我们这些小白帽情何以堪

6# 回复此人
2014-11-23 21:45 | 真旅网集团(乌云厂商)

1

@追寻就是啊，我们真旅网非常非常在意，小白帽们来扫我们~ 除tdxinfo.com及其子站点其他各个平台暂时不赠送礼物哦~

7# 回复此人
2014-11-24 09:36 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

1

@真旅网集团真有礼物？？？哈哈！！有时间会关注的！！

8# 回复此人
2014-11-24 09:37 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

1

@真旅网集团 tdxinfo.com 只有这个域名送礼物是吧！！！

9# 回复此人

漏洞概要 关注数(7) 关注此漏洞