当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05431

漏洞标题:乐视网充值漏洞

相关厂商:乐视网

漏洞作者: Z-0ne

提交时间:2012-03-21 09:45

修复时间:2012-05-05 09:46

公开时间:2012-05-05 09:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-21: 细节已通知厂商并且等待厂商处理中
2012-03-23: 厂商已经确认,细节仅向厂商公开
2012-04-02: 细节向核心白帽子及相关领域专家公开
2012-04-12: 细节向普通白帽子公开
2012-04-22: 细节向实习白帽子公开
2012-05-05: 细节向公众公开

简要描述:

你懂的,我懂的,大家都懂的。

详细说明:

无签名,无校验,太危险了!

漏洞证明:





修复方案:

添加校验签名

版权声明:转载请注明来源 Z-0ne@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-03-23 11:36

厂商回复:

十分感谢Z-0ne的漏洞挖掘,目前已经在修复中,如有问题也可随时给我们提出。再次感谢。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-03-21 09:55 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    又掀起一阵刷钱风,刷金币有风险。洞主保重。

  2. 2012-03-21 14:45 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    测试成功~乐视我都没听过啊~麻烦您收回吧~~把钱退我,我不要你的会员~

  3. 2012-03-21 14:56 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    @一刀终情 我记得好像是国内第一家上市的视频网站

  4. 2012-03-21 16:37 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    嗯,可耻的vip了,看里面的大片还得再付费 。。。

  5. 2012-03-22 16:11 | Pentos ( 路人 | Rank:24 漏洞数:8 | 来潜水学习的!^^)

    网银测试成功

  6. 2012-03-22 17:31 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    是不是已经补了? 我用支付宝测试的时候 报 sign error

  7. 2012-03-22 17:37 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @x-star 估计你测试错误~修改步骤错了,可参考以前各种类似漏洞

  8. 2012-03-22 17:39 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    好吧 测试用支付宝是不可以的 网银是可以的

  9. 2012-03-22 17:39 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    Don't be evil!

  10. 2012-03-23 18:23 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    @乐视网 要了我联系方式礼物神马的有木有哇(⊙o⊙)!

  11. 2012-03-23 19:30 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    帮你再冲个VIP :) 哈哈

  12. 2012-03-23 22:29 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    @x-star 哈哈

  13. 2012-03-26 11:17 | 乐视网(乌云厂商)

    @Z-0ne 在走流程中,稍后会联系哈。放心,跑不了哈。

  14. 2012-03-26 12:22 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    嘿嘿,我的vip还在

  15. 2012-03-26 12:23 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    aa

  16. 2012-04-22 11:44 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @乐视网 洞主你跑不了了。囧。。

  17. 2012-04-22 11:50 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    @imlonghao 可惜还是给的充值点(⊙o⊙)

  18. 2012-04-22 12:13 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @Z-0ne 转换为现金吧~

  19. 2012-04-22 22:57 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    哦哦哦,vip哦

  20. 2012-05-07 09:22 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    支付成功后不会确认返回数据。。。。

  21. 2012-05-07 09:23 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量,但我向往自由)

    才看到乐视网 还是上市公司呢。。。这消息如果 提前放出去 会不会 让他的股票跌一下