花椒直播任意用户登录(以王祖蓝为例)

admin
admin
admin
140552
文章
117
评论
2017年4月30日11:58:01评论371 views字数 218阅读0分43秒阅读模式
摘要

2016-05-24: 细节已通知厂商并且等待厂商处理中
2016-05-24: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-29: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(36) 关注此漏洞

缺陷编号: WooYun-2016-212208

漏洞标题: 花椒直播任意用户登录(以王祖蓝为例)

相关厂商: 奇虎360

漏洞作者: 路人甲

提交时间: 2016-05-24 16:00

公开时间: 2016-05-29 20:20

漏洞类型: 未授权访问/权限绕过

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 平行权限

6人收藏

漏洞详情

披露状态:

2016-05-24: 细节已通知厂商并且等待厂商处理中
2016-05-24: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

花椒直播。

花椒直播任意用户登录(以王祖蓝为例)

王祖蓝的id为21511761

登录修改返回包

花椒直播任意用户登录(以王祖蓝为例)

粉丝送礼榜

花椒直播任意用户登录(以王祖蓝为例)

查看其他人直播,

花椒直播任意用户登录(以王祖蓝为例)

漏洞证明:

花椒直播任意用户登录(以王祖蓝为例)

修复方案:

越权

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-29 20:20

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2016-05-30:感谢白帽子反馈,涉及的接口是个公共接口,用于查看任意用户公开信息,由于客户端使用不当造成任意登陆的假象,只在客户端本地存在,实际任何操作在服务端都是有身份认证的,所以不会造成实际影响。 新版客户端发布会修复此BUG。

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-05-24 11:28 | 功夫熊猫 ( 路人 | Rank:4 漏洞数:1 | 我是1号)

    0

    怎么不已笑笑为例?

  2. 2016-05-24 13:55 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问,还有谁!!!!!!!!!!!!!...)

    0

    花椒不是360的吗

  3. 2016-05-24 16:09 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    0

    厉害~

  4. 2016-05-24 16:30 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命!)

    0

    王祖蓝得罪谁了

  5. 2016-05-24 18:04 | 小威 ( 普通白帽子 | Rank:535 漏洞数:87 | 活到老,学到老!)

    0

    以周鸿祎为例,这货天天微博打广告

  6. 2016-05-24 19:14 | 放逐 ( 路人 | Rank:2 漏洞数:1 | 白帽子放逐Gg?得失乐与悲与Av Qq205655539)

    0

    怎么没有我的国民老公?

  7. 2016-05-28 17:45 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:323 | 啥都不会....)

    0

    爆破么

  8. 2016-05-29 22:04 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

    0

    怎么忽略了。。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin