漏洞概要
关注数(24)
关注此漏洞
漏洞标题:天天团购UC_KEY未初始化安全隐患
提交时间:2012-03-01 20:13
修复时间:2012-04-15 20:14
公开时间:2012-04-15 20:14
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-03-01: 细节已通知厂商并且等待厂商处理中
2012-03-02: 厂商已经确认,细节仅向厂商公开
2012-03-12: 细节向核心白帽子及相关领域专家公开
2012-03-22: 细节向普通白帽子公开
2012-04-01: 细节向实习白帽子公开
2012-04-15: 细节向公众公开
简要描述:
天天团购集成了ucenter一站式登录api,但是UC_key未初始化将导致攻击者可以登录任意帐号,甚至操作信用卡信息.
详细说明:
UC_KEY未初始化为空,所以也就等于别人知道了你的UC_KEY,可直接进行操作,像一些应用初始化为123456其实一样可笑,下了你的源码看一眼不就又知道了?
漏洞证明:
修复方案:
需要在安装过程就给予正确的引导,比如设置自己的key或者禁用uc_client功能等.
版权声明:转载请注明来源 牛奶坦克@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-03-02 18:57
厂商回复:
感谢提供,是ucenter模块配置初始化漏洞,使用者整合了ucenter就相对来说安全些,已经发布补丁更新相关程序下载。
补丁详见:http://cenwor.com/thread-12826-1-1.html
最新状态:
暂无
漏洞评价:
评论
-
2012-03-01 20:24 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
呃?记得有大牛爆过哪个程序也有这问题的,忘了...
-
2012-03-02 09:53 |
teamtopkarl ( 实习白帽子 | Rank:48 漏洞数:7 | 对网络安全事业一直保持着激情)
UC接口问题,变量覆盖,开源的应该大部分补了,以后变量覆盖是个趋势
-
2012-03-02 19:28 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-03-02 19:39 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
@xsser 围观学习一下。建议添加部分表情,不然显得太单调了。
-
2012-03-02 19:41 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
@zeracker 功能越多....bug越多......
-
2012-04-02 00:40 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )