漏洞概要
关注数(24)
关注此漏洞
漏洞标题:利用上传成功进入腾讯某站
相关厂商:腾讯
提交时间:2012-12-16 13:09
修复时间:2013-01-30 13:10
公开时间:2013-01-30 13:10
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-12-16: 细节已通知厂商并且等待厂商处理中
2012-12-16: 厂商已经确认,细节仅向厂商公开
2012-12-26: 细节向核心白帽子及相关领域专家公开
2013-01-05: 细节向普通白帽子公开
2013-01-15: 细节向实习白帽子公开
2013-01-30: 细节向公众公开
简要描述:
对上传的过滤
详细说明:
在上传页面上传文件之后可以通过抓包修改上传文件名称来绕过验证,从而导致可上传动态脚本。
PS:碰到真是运气....不知道企鹅多少漏洞之后送娃娃
http://fenxiang.qq.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/index.phphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/user/apply 漏洞页面
http://fenxiang.qq.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/uploads/1355631395_yijuhua.php 一句话
漏洞证明:
修复方案:
版权声明:转载请注明来源 Fate@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2012-12-16 15:29
厂商回复:
十分感谢你的反馈,我们已经在处理中。
最新状态:
暂无
漏洞评价:
评论
-
2012-12-16 13:25 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-16 14:58 |
Coody 
( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)
-
2012-12-16 15:31 |
数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)
-
2012-12-16 15:40 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2012-12-16 15:58 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-12-16 16:11 |
shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)
-
2012-12-16 19:15 |
Mr.ZX ( 路人 | Rank:0 漏洞数:1 | 请输入个人的简要介绍?)
-
2012-12-16 21:26 |
心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)
-
2012-12-17 00:55 |
oldsun ( 路人 | Rank:16 漏洞数:4 | 啪啪啪啪啪啪啪啪啪啪啪啪)
-
2012-12-17 10:03 |
saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)
-
2012-12-17 15:30 |
Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)
@saline 借您吉言...企鹅要是真能给我ipad.. 我就把rank全散给你 :)
-
2012-12-17 15:40 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-17 15:49 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@Fate 哈哈~要是你把ipad给我,我也把rank全散给你:)
-
2012-12-17 16:45 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
-
2012-12-17 16:48 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-17 18:01 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
-
2012-12-17 18:06 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-12-17 21:01 |
Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)
-
2012-12-18 09:51 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
-
2012-12-18 19:35 |
小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
@xsser 哥,你的签名“ 极为缓慢,沉重,凝滞的前行”是因为太胖么?
-
2012-12-19 20:47 |
guiker ( 路人 | Rank:0 漏洞数:1 | PHP屌丝程序员!)
-
2012-12-23 16:19 |
鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)
-
2013-01-07 20:24 |
蓝风 ( 普通白帽子 | Rank:125 漏洞数:25 | 崬汸慾哓 嗼檤焄垳皁 沓猵圊屾亾沬荖 颩憬...)
-
2013-01-15 16:18 |
烨少 ( 路人 | Rank:5 漏洞数:1 )
-
2013-01-15 23:35 |
小野 ( 路人 | Rank:6 漏洞数:2 | 低调~)
-
2013-01-16 07:32 |
XiaoLu ( 路人 | Rank:0 漏洞数:1 | 我是一直小小小小小小鸟。)
-
2013-01-16 13:16 |
El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)
-
2013-01-16 14:04 |
小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)
-
2013-01-17 14:18 |
Shell ( 路人 | Rank:14 漏洞数:4 | shell)
-
2013-01-17 18:53 |
Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)
@Shell @小囧 burpsuite java写的
-
2013-01-30 16:52 |
Kaier ( 路人 | Rank:11 漏洞数:1 )
-
2013-01-30 16:56 |
摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)
-
2014-04-22 22:31 |
指尖的温度 ( 路人 | Rank:12 漏洞数:7 )
