当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05748

漏洞标题:新浪微博抽奖对发起人验证不严

相关厂商:新浪

漏洞作者: 梧桐雨

提交时间:2012-04-02 21:00

修复时间:2012-05-17 21:01

公开时间:2012-05-17 21:01

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-04-02: 细节已通知厂商并且等待厂商处理中
2012-04-05: 厂商已经确认,细节仅向厂商公开
2012-04-15: 细节向核心白帽子及相关领域专家公开
2012-04-25: 细节向普通白帽子公开
2012-05-05: 细节向实习白帽子公开
2012-05-17: 细节向公众公开

简要描述:

新浪微博抽奖对发起人验证不严,比如砸金蛋、转盘摇奖,容易使得抽奖人上当受骗,造成抽奖人用户信息泄露。

详细说明:

新浪微博抽奖对发起人验证不严,比如砸金蛋、转盘摇奖,容易使得抽奖人上当受骗,造成抽奖人用户信息泄露。方面一些hacker对用户进行社工。

漏洞证明:


修复方案:

对发起人进行验证。

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-04-05 17:13

厂商回复:

非常感谢,别人已发过!

最新状态:

暂无

漏洞评价:

评论

  1. 2012-04-02 21:02 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我擦。我还打算连刷的。被你断了喔。

  2. 2012-04-02 21:03 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @zeracker 危害大,所以早点发出来让厂商注意了。

  3. 2012-04-02 21:10 | El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)

    @梧桐雨 能做人厚道一点吗?

  4. 2012-04-02 21:11 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @梧桐雨 @El4pse 。。。。。。。。。。。。。。。。。。。。。。。。。。。。 怎么了、?

  5. 2012-04-02 21:13 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @El4pse ?

  6. 2012-04-02 21:14 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @zeracker 我不知道他

  7. 2012-04-02 21:16 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    你这个估计某些人的利益会受到影响。

  8. 2012-04-02 21:47 | exploits ( 实习白帽子 | Rank:69 漏洞数:17 | As We Do,As You Know !)

    @zeracker 恕小E说句话,我想大家来白帽子,不仅仅是为了礼物吧和Rank吧,既然大家来了,我想大家也都是希望各位网友朋友能安心的上网!

  9. 2012-04-02 21:49 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    今晚怎么那么多人挖洞,清明都很有空么?^-^

  10. 2012-04-02 21:51 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @exploits 同理,我也不想争什么,也没必要争取那么点hack值,我只是担心这种bug影响的人越多,危害越大。

  11. 2012-04-02 21:51 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @exploits 说的好! 支持一个 @Jannock 天天在线,时间大把的三无人员,很有空。亲,你不是也没去陪妹纸么。

  12. 2012-04-02 21:52 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @Jannock 嗯..清明确实有空,寂寞的孩纸

  13. 2012-04-02 21:53 | El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)

    @梧桐雨 我没有说你争你要发没关系。。那也等测试完了有足够的证据了你再去发。。

  14. 2012-04-02 21:53 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    都很寂寞,唉。。。

  15. 2012-04-02 21:55 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @El4pse 好吧,对于这个我承认我太急了。大家都是为了web安全贡献的人,互相体谅吧。

  16. 2012-04-02 22:05 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @Jannock 莫非你就是排名第一的大大。。。。

  17. 2012-04-02 22:06 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @Jannock 团购妹纸去吧。寂寞难耐的亲们。

  18. 2012-04-02 22:06 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    @imlonghao 是您们太低调了。。。

  19. 2012-04-02 22:08 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @Jannock 你之前发掘的小米的洞送了手机么。。

  20. 2012-04-02 22:09 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @zeracker 亲,有那个cnr什么的人QQ么,直接联系他们

  21. 2012-04-02 22:09 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @Jannock 膜拜清明仍然奋斗在安全一线的苦逼挨踢人士

  22. 2012-04-02 22:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @El4pse 怎么了?

  23. 2012-04-02 22:10 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser 大大,审漏洞去吧。。

  24. 2012-04-02 22:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @imlonghao 我放假了....

  25. 2012-04-02 22:14 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    真多人,不如去 zone,聊吧。。哈哈。。

  26. 2012-04-02 22:14 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @xsser — —。

  27. 2012-04-02 22:15 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser 人生就是不停的奋斗。。