漏洞概要
关注数(24)
关注此漏洞
漏洞标题:360搜索可能泄漏黑客的后门地址
提交时间:2012-08-23 20:39
修复时间:2012-08-23 22:38
公开时间:2012-08-23 22:38
漏洞类型:内容安全
危害等级:低
自评Rank:2
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-08-23: 细节已通知厂商并且等待厂商处理中
2012-08-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
今天有人说360能搜到其他搜素引擎搜不到的东西,试了下,真是这样,居然能搜到黑客放置的后门,这个可是不应该有外链的,并且其他搜索引擎都搜索不到,大家要小心了
详细说明:
案例
inurl:phpspy
直接搜索这个后门44,就360能找到,太流弊了
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-08-23 22:38
厂商回复:
所谓的黑客后门地址并非孤岛数据,谷歌搜索爬虫同样抓取了这些页面
http://p8.qhimg.com/t014f1507102aa2e2ab.jpg
感谢匿名人士的回复
最新状态:
暂无
漏洞评价:
评论
-
2012-08-23 20:42 |
风萧萧 
( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
-
2012-08-23 20:59 |
瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )
-
2012-08-23 21:23 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-08-23 21:30 |
Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)
-
2012-08-23 21:33 |
笑傲浆糊 ( 路人 | Rank:12 漏洞数:1 | 没死,还活在)
-
2012-08-23 22:14 |
瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )
@xsser 感觉和soso神马的差不多 但是偶尔能遇到几个关键字敏感信息什么的,估计以后就少了 下载软件的话部分从360软件宝库下载 好像需要360软件管家,比较恶心 别的没发现啥
-
2012-08-23 23:04 |
popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)
360目前有爬虫在爬么?严重怀疑一个。只不过是调用了B&G两大引擎的数据而已吧。
-
2012-08-23 23:04 |
笑傲浆糊 ( 路人 | Rank:12 漏洞数:1 | 没死,还活在)
Password inurl:phpspy.phpgoogle一样能搜到,就看关键字了
-
2012-08-23 23:06 |
瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )
现在测试inurl它会提示根据相关政策某些结果不显示...
-
2012-08-23 23:28 |
断七 ( 路人 | Rank:0 漏洞数:1 | 小心翼翼过2012。。。。)
大神们, 要爆就爆 内裤出来, 爆几条好看的裤裤 ^.^
-
2012-08-23 23:30 |
断七 ( 路人 | Rank:0 漏洞数:1 | 小心翼翼过2012。。。。)
360的公关真强呀, 表面, 你看那个那个谁也有是吧, 然后背后自己就默默滴河蟹了。。
-
2012-08-23 23:43 |
QQadmin ( 路人 | Rank:1 漏洞数:2 | 在以后的日子我会努力更进腾讯安全改密漏洞...)
-
2012-08-23 23:47 |
gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
-
2012-08-24 00:46 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@gainover 他们虚了,差点把自己后门侧漏了……
-
2012-08-24 08:21 |
小鱼儿 ( 路人 | Rank:5 漏洞数:2 | Know It Then Hack It)
@popok 同样强烈的怀疑。。突然之间就这么上线了。照理说数据收集总是要时间的。。。但是前段时间我分析自己网站log的时候,也没有发现什么特别的地方。。我现在连360的爬虫地址都不知道。。
-
2012-08-24 10:05 |
kaida ( 路人 | Rank:22 漏洞数:2 )
360浏览器会搜集提交用户的URL访问记录。这些URL在一段时间后会被奇虎的爬虫重新爬行访问。
-
2012-08-24 10:09 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
-
2012-08-24 10:45 |
kaida ( 路人 | Rank:22 漏洞数:2 )
qihoo 爬虫使用的5个 User-Agent"Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11; CollapsarTEXT""Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; CollapsarGSCP )""Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; CollapsarDSP; )""Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; CollapsarWEB qihoobot@qihoo.net)""Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; CollapsarDEEP)"
-
2012-08-24 11:19 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@kaida 顶这个解释;这个算故意去爬的么……流氓,不解释,拒绝一切360产品
-
2012-08-24 13:48 |
shineast ( 实习白帽子 | Rank:42 漏洞数:4 )
@kaida 这5个agent是怎么得到的啊?多谢回复。
-
2012-08-24 13:58 |
Bincker ( 普通白帽子 | Rank:193 漏洞数:23 )
@kaida kaida,不知道搜集URL记录可是负责人的话哟?
-
2012-08-24 14:50 |
kaida ( 路人 | Rank:22 漏洞数:2 )
-
2012-08-24 15:30 |
kaida ( 路人 | Rank:22 漏洞数:2 )
@Bincker 引用 http://www.360.cn/privacy/v2/360anquanliulanqi.html:360安全浏览器的隐私保护说明 为了实现相关的“云安全”和其他特色功能,360安全浏览器会向 360云安全中心发送以下限定的信息:网址云安全360安全浏览器的安全红绿灯功能会定期与 360 的服务器进行通信,以便下载存在网络欺诈内容和恶意软件网站的最新黑名单列表,以及被360认证的知名网站的白名单列表。如果您访问的网址不在黑白名单列表中,360安全浏览器会发送到360的服务器,和服务端海量的恶意网址库进行比对,来保证更快速的拦截一些最新出现的恶意网址。下载云安全当您使用360安全浏览器内置的安全下载器下载文件时,360安全浏览器会先将下载链接发送给 360 的服务器,来扫描恶意下载链、优化下载源,保证下载安全、提升下载速度。网络云加速为提升多个运营商之间网络互访速度,360安全浏览器启动时,有可能将您机器中的DNS设置和IP地址发送给 360 的服务器,用以优化网络路由,提升网页打开速度。您可以选择关闭此功能。智能地址栏当您在地址栏中输入网址或查询时,如果在本地历史记录、收藏夹、以及预置的知名网址库中没有匹配的记录,360安全浏览器会将您键入的文字发送给 360。这样,“建议”功能就能自动向您推荐您可能正要查找的字词或网址。
-
2012-08-26 12:14 |
小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)
