漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03508
漏洞标题:淘宝钓鱼网站2枚
相关厂商:淘宝网
漏洞作者: zeracker
提交时间:2011-12-03 10:35
修复时间:2011-12-05 11:51
公开时间:2011-12-05 11:51
漏洞类型:钓鱼欺诈信息
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-03: 细节已通知厂商并且等待厂商处理中
2011-12-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
淘宝钓鱼站2枚,url加密后相似度极高..此类站点还有很多,希望你们能够重视。
详细说明:
http://item.taobao-com.qjpcs.tk/item_htm.asp?id=2215&2515238
http://item.taobao.com.reidd.osa.pl/item_htm.asp?id=165&5526535
此类站点还有很多,希望你们能够重视。
漏洞证明:
http://item.taobao-com.qjpcs.tk/item_htm.asp?id=2215&2515238
http://item.taobao.com.reidd.osa.pl/item_htm.asp?id=165&5526535
经过url加密后,一般用户无法辨认直接点击访问,达到他们需要的效果。
修复方案:
虽然这个不是官方的责任,我想用户的财产安全,厂家需要负一定责任的,希望你们能够重视,严打,特别是年底。网购现象比较热,此类情况更为严重!!!!
版权声明:转载请注明来源 zeracker@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-12-05 11:51
厂商回复:
感谢反馈。
这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:
1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。
2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。
3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。
4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。
漏洞Rank:1 (WooYun评价)
最新状态:
2011-12-05:感谢反馈。这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。
漏洞评价:
评论
-
0 Rank.你让我情以何堪啊。忽略影响,每天那么多用户受到巨大损失,外部厂商起到的只是辅助作用,让我们用户.....忒失望了,
( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)