当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010627

漏洞标题:07073游戏网一个设置缺陷,导致可以任意刷xxx

相关厂商:07073.com

漏洞作者: _Evil

提交时间:2012-08-06 13:23

修复时间:2012-09-20 13:24

公开时间:2012-09-20 13:24

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-06: 细节已通知厂商并且等待厂商处理中
2012-08-06: 厂商已经确认,细节仅向厂商公开
2012-08-16: 细节向核心白帽子及相关领域专家公开
2012-08-26: 细节向普通白帽子公开
2012-09-05: 细节向实习白帽子公开
2012-09-20: 细节向公众公开

简要描述:

07073游戏网一个设置缺陷,导致可以任意刷xxx

详细说明:

07073游戏网很很多激活卡,可以让用户获取,但是在验证用户是否恶意获取存在问题。。。
http://kf.07073.com/c_513/#@
http://fahao.07073.com/20943.html
这些是获取卡的。见漏洞证明。

漏洞证明:

07073游戏网,只是拿用户ip来检测是否为同一用户,So.........
http://fahao.07073.com/?action=ajax&id=23211&_=1344225671487


X-Forwarded-For: 189.1.5.7



呵呵。

修复方案:

这样限制好点:新建个段(如:never)->用户获取了卡设置那个段为never=1或者用时间戳(时间戳限制每天是否你懂的..)->当用户又获取,判断if ($sqp['never'] == 1){exit('请别重复获取!');}
恩。。 有礼物吗

版权声明:转载请注明来源 _Evil@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-08-06 13:28

厂商回复:

这你也12分。不会吧。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-08-06 13:29 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    回复的很有爱。

  2. 2012-08-06 13:30 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @07073游戏网 你们更喜欢注入?

  3. 2012-08-06 13:30 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @07073游戏网 发了还没审核

  4. 2012-08-06 15:10 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    嘿嘿 手握07073 重大漏洞,表示不公开,不告诉你们我手有洞.

  5. 2012-08-17 21:32 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @neal = =07073系统用某个私服的系统BUG是很多的

  6. 2012-09-06 01:52 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    主站都拿下了

  7. 2012-09-20 13:48 | Errorera ( 普通白帽子 | Rank:112 漏洞数:21 | 我们应该在犯错误的情况下学习!)

    @北洋贱队 N年前都拿了 权限一直没掉 我也很郁闷

  8. 2012-09-20 15:13 | 0gucci ( 普通白帽子 | Rank:166 漏洞数:33 | 深度值得深入)

    N年前各种拿下了-_,各种权限都在-_,