漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-015533
漏洞标题:对开源中国一次普及型的认证钓鱼测试
相关厂商:开源中国
漏洞作者: 小胖胖要减肥
提交时间:2012-12-02 23:41
修复时间:2013-01-16 23:42
公开时间:2013-01-16 23:42
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-12-02: 细节已通知厂商并且等待厂商处理中
2012-12-03: 厂商已经确认,细节仅向厂商公开
2012-12-13: 细节向核心白帽子及相关领域专家公开
2012-12-23: 细节向普通白帽子公开
2013-01-02: 细节向实习白帽子公开
2013-01-16: 细节向公众公开
简要描述:
最近这个很火我也来一个,认证钓鱼这个问题是由于一个引用网络图片问题而导致的,暂时只有一个解决办法,就是不能引用网络图片,如果开发童鞋想到更好的解决办法希望能够共享出来,因为这个实在影响太大,包括qq,百度,人人等著名网站。不过为什么chrome进入当前页面的时候会不直接弹点击才弹呢,大牛可以研究下
详细说明:
首先,我先找个能够引用网络图片的地方,其实不引用也可以,只要插如img src=“即可
之后刷新看效果吧,因为指定的图片地址引用了一个http认证
这个时候重新打开页面就会触发一个钓鱼认证,没有警惕性的用户发现是要连接关于访问网站www.oschina.net的,就输入了该网站的用户名和密码,点击确定以后其实这个密码就发给我了,因为这个钓鱼认证是我搞的,好了看看效果把。
漏洞证明:
看来我已经收到有人输如的oschina的用户名和密码了
看了真的有人中招了,好了那么登陆发发消息看看
这个就是我使用刚才收到的用户名密码所发的一条信息,因为之前没有测试就联系红薯了,只是他找周公去了,所以发一条消息再@下 。
至此测试成功,之后就有程序猿发现了这个情况并发帖,看来程序猿的警惕性还是很高的,不过也说明他们也对安全性的知识比较缺乏,并不知道这是一个认证钓鱼。
就此测试结束,第二天联系红薯把事情讲清楚后,红薯特地在首页搞了一个置顶贴,看来他也认识到了问题的严重性,毕竟他的网站至少还是可以的
帖子内容
这样基本就在oschina普及了这个安全性方面的知识,我的目的也达到了,个人认为从程序猿抓起才是最好的方式把。之后也在qq空间和百度贴吧做相应测试也收到了用户名密码
修复方案:
红薯准备不能直接引用站外图片了,而且红薯也比较欢迎大家给程序猿们普及各类安全知识,这不就是不帽子的目标么,从根本杜绝安全性漏洞
版权声明:转载请注明来源 小胖胖要减肥@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2012-12-03 07:46
厂商回复:
已修复
最新状态:
暂无
漏洞评价:
评论
-
@蟋蟀哥哥 你刷分呀 我只是玩玩 毕竟是剑心搞的测试工具啊 你不发出来到时候大家又认为你默默做坏事 反正鹅肯定不会给你吃的 最多给你个虫虫
-
厂商要客观啊
-
@xsser 实际起到的效果也可以加分啊,你看红薯的态度和那个置顶帖,可比放wooyun启动作用大多了,20rank是对行为的肯定
( 普通白帽子 | Rank:686 漏洞数:101 )