当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03507

漏洞标题:淘宝网钓鱼两枚

相关厂商:淘宝网

漏洞作者: zeracker

提交时间:2011-12-03 10:31

修复时间:2011-12-05 11:49

公开时间:2011-12-05 11:49

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-12-03: 细节已通知厂商并且等待厂商处理中
2011-12-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

淘宝钓鱼网站2个,相似度极高。具体看下图及链接。

详细说明:

http://item.taobao.com.reidd.osa.pl/item_htm.asp?id=165&5526535
http://item.taobao-com.qjpcs.tk/item_htm.asp?id=2215&2515238
url加密后的效果,大家都知道。

漏洞证明:

改如何利用,我就不多说了。。我只知道每天有很多人为此被骗多少钱。。

修复方案:

严打,虽然不是官方的错,但是用户的安全,厂家需要负一定的责任。

版权声明:转载请注明来源 zeracker@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-12-05 11:49

厂商回复:

感谢反馈。
这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:
1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。
2. 我们会对IM旺旺和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。
3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。
4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。

漏洞Rank:2 (WooYun评价)

最新状态:

2011-12-05:感谢反馈。这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。


漏洞评价:

评论

  1. 2011-12-03 10:36 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    麻烦管理删除,我网络卡,刚才超时,验证码错误,没想到还成功了。。抱歉。

  2. 2011-12-03 14:25 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    我前天提交时,可能也碰这个问题了。反馈信息后(这么支持乌云),居然还被扣分了,哥很辛酸啊!

  3. 2011-12-03 14:36 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    如果扣分,我以后就不发了。NND。直接公布。

  4. 2011-12-05 11:50 | 淘宝网(乌云厂商)

    感谢反馈。这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。

  5. 2011-12-05 22:11 | coL.19Th ( 路人 | Rank:5 漏洞数:3 | coL.19Th)

    这个太纠结了,如果厂商都不管的话,只能靠网民提高辨别能力