当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04692

漏洞标题:简历联系方式绕过付费环境

相关厂商:最佳东方

漏洞作者: fym

提交时间:2012-02-21 12:43

修复时间:2012-04-06 12:44

公开时间:2012-04-06 12:44

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-21: 细节已通知厂商并且等待厂商处理中
2012-02-21: 厂商已经确认,细节仅向厂商公开
2012-03-02: 细节向核心白帽子及相关领域专家公开
2012-03-12: 细节向普通白帽子公开
2012-03-22: 细节向实习白帽子公开
2012-04-06: 细节向公众公开

简要描述:

上次提交了一下,也回复了,但是今天测试了一下,竟然还存在这个问题,
只好重新再提交一次.
不知道wooyun的Rank是怎么来的,反正这次要换成20了,自己去处理吧.

详细说明:

没什么好说的,只需要把一个简历加入到人才库中去,
然后导出Word格式简历.联系方式就出来了,而且还没有扣除点数.
这样子足可以把整站的简历,一点不扣的,全洗出来.

漏洞证明:

上次厂家已确认的问题.

修复方案:

导出Word格式简历时,做扣费操作.(发送到email未经测试,不知道是否也存在这个问题.)
赶紧解决吧,再不解决,就要被人血洗了.

版权声明:转载请注明来源 fym@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-02-21 18:44

厂商回复:

谢谢 @fym

最新状态:

2012-02-21:已处理

2012-04-06:已处理

漏洞评价:

评论

  1. 2012-02-21 13:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    你需要给人家一点时间 别这样刷

  2. 2012-02-21 13:37 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    就是啊,处理的没那么快=。=就像。。然后。。恩。。

  3. 2012-02-21 13:37 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @xsser WooYun: 12306.cn域名可能会被劫持 这个是不是出BUG了?

  4. 2012-02-21 13:41 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Valo洛洛 怎么了 我这里正常

  5. 2012-02-21 13:43 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @xsser 我这现在提交时间是2.20

  6. 2012-02-21 13:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Valo洛洛 哦 这里不是 在认领之后会重新计算时间的 :) 这里是厂商知晓这个东西的时间

  7. 2012-02-21 13:45 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @xsser soga

  8. 2012-02-21 13:46 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @Valo洛洛 话说前阵子wooyun的计分出了问题?没有厂商经审核通过的,审核过后直接加自评rank的分数。

  9. 2012-02-21 13:47 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    楼上你@错了

  10. 2012-02-21 13:47 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Valo洛洛 嗯 现在修复了 一小时更新一次

  11. 2012-02-21 13:48 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @shine 自爆菊花。

  12. 2012-02-21 14:03 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    @xsser 之前的那个,他们都结帖报修复完成了,所以才会再发一个的.

  13. 2012-02-21 14:05 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    @最佳东方 如果感觉不理解,发站内信吧,详细跟你说一下情况.

  14. 2012-02-21 14:08 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @fym 汗

  15. 2012-02-21 14:09 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    @xsser 对吧,所以,我才又提交了一个的.总归是要把这个问题让他们解决好吧.数据安全可是非常非常重要滴.

  16. 2012-02-21 14:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @fym 嗯 但是呢 要是发现你刷rank 嗯哼 小心啊~~~

  17. 2012-02-21 14:15 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    话说,除了rank可以看到比自己低的人的问题,其他的,我还真不知道有什么用..企业是为rank付费了吗?不明白..也不用明白,,,哈哈.

  18. 2012-02-21 14:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @fym 嗯 目前没什么用 但是是一种公平 而且将来会有很大用处 就在今年吧

  19. 2012-02-21 14:15 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    @xsser 坚决抵制刷Rank.

  20. 2012-02-21 14:17 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    @xsser 好吧,我只是比较关注,,以后有机会多赚就是了,如果实在赚不到也没法了,不在专业安全圈子里面混,也是没办法滴事.以后求指教,求带,各种求...出门去了,回头再来关注..

  21. 2012-02-21 16:16 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @Valo洛洛 自爆菊花这个技术活,我还真在一个Q群的表情里见过……,还有一个MOP神图,是自口……

  22. 2012-02-21 16:27 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @一刀终情 shit!!

  23. 2012-02-21 16:43 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @Valo洛洛 @.@妹纸怒了……我错了

  24. 2012-02-21 20:09 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)

    这里还有花姑娘的干活?????

  25. 2012-02-21 20:18 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    @疯狂 @一刀终情 妹的花姑娘。。。

  26. 2012-02-21 21:43 | 疯狂 ( 普通白帽子 | Rank:239 漏洞数:30 | 桃李春风一杯酒莲湖夜雨八年灯)

    安,他是花姑娘,我这取向好像就有问题了......