当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02345

漏洞标题:robots.txt失误导致UC游戏用户帐号暴露

相关厂商:UC Mobile

漏洞作者: 笨猫猫

提交时间:2011-06-29 20:12

修复时间:2011-07-04 21:00

公开时间:2011-07-04 21:00

漏洞类型:用户资料大量泄漏

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-06-29: 细节已通知厂商并且等待厂商处理中
2011-07-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

UC乐园一款手机网页游戏,robots.txt填写失误导致用户游戏账户泄漏

详细说明:

UC罗曼人生游戏,身份ID:uzone_token 确定用户身份
http://uc.myroman.com/robots.txt
第一行少些两个字母
google搜索 site:uc.myroman.com
任意一个链接都带有uzone_token 进去就可以玩别人的号

漏洞证明:


修复方案:

第一行写正确啊~ “User-agent:”
然后更新下所有用户的uzone_token吧

版权声明:转载请注明来源 笨猫猫@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-07-04 21:00

厂商回复:

漏洞Rank:13 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2011-07-05 12:20 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    这个说实话还算严重的了

  2. 2011-07-05 18:15 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)

    哈哈,连个 robots.txt 都能写错。。。。服了

  3. 2011-07-23 15:20 | sw0rder ( 路人 | Rank:11 漏洞数:5 | /*菜菜*/)

    确实牛逼,这个也能写错。这个也能发现

  4. 2011-11-29 15:52 | ufohacker ( 路人 | Rank:3 漏洞数:1 | 提高的是能力不是技术!)

    厂商太不地道了,连声谢谢都没有

  5. 2011-11-29 15:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    忽略了的

  6. 2011-12-22 18:04 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    额...这..

  7. 2012-03-06 12:45 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    v5

  8. 2012-04-22 22:54 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    忽略了,那还改什么?

  9. 2012-09-11 13:11 | Obeach ( 路人 | Rank:0 漏洞数:1 | 一只经常被骗的小屁孩)

    忽略了啊=_=!!

  10. 2012-09-11 18:03 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    不敢面对现实........

  11. 2013-02-21 07:19 | Lxai ( 路人 | Rank:10 漏洞数:8 )

    好强.居然写错。

  12. 2013-05-13 13:12 | 纠结师 ( 实习白帽子 | Rank:53 漏洞数:12 | 传说中的废材)

    UC 妥妥的