当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06470

漏洞标题:淘宝应用xss,可钓鱼等等神马的!!!

相关厂商:淘宝网

漏洞作者: 我怀念的

提交时间:2012-04-28 02:29

修复时间:2012-04-28 10:28

公开时间:2012-04-28 10:28

漏洞类型:网络设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-04-28: 细节已通知厂商并且等待厂商处理中
2012-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

描述啥,我一个小菜B.

详细说明:

漏洞证明:

http://yingyong.taobao.com/show.htm?app_id=150001&turl=www.baidu.com

修复方案:

版权声明:转载请注明来源 我怀念的@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-28 10:28

厂商回复:

由淘宝开发平台,第三方代码漏洞引起。感谢白帽子我怀念的提醒

最新状态:

2012-04-28:感谢,各位大侠的关注。http://yingyong.taobao.com/show.htm?app_id=150001&turl=www.baidu.com用iframe 将 第三个的地址应用进来。具体的流程,各位大侠稍作分析,就可知。

漏洞评价:

评论

  1. 2012-04-28 10:44 | 1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)

    这也忽略 我草 碉堡了

  2. 2012-04-28 10:50 | Mr.杨总 ( 路人 | Rank:14 漏洞数:4 | 绿色 无毒 你懂得。。。。心要宽 。。。)

    楼上是黑阔。。。。

  3. 2012-04-28 10:58 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    淘宝碉堡了 我日 这都忽略 抓紧去钓鱼

  4. 2012-04-28 11:01 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    这都忽略啊,钓鱼了,钓鱼了

  5. 2012-04-28 11:30 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    搞错了吧?不像第三方

  6. 2012-04-28 11:40 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    只能怪厂商验证漏洞这个人不懂,哪能怪你们钓鱼。伤不起啊。

  7. 2012-04-28 11:41 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    感觉这是设计上的问题。怎么说也是存在钓鱼隐患。各位觉得呢?

  8. 2012-04-28 11:52 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    用iframe 将 第三个的地址应用进来。。。。。这个就更是你们的问题了,随便一个网站的url都能应用进来,也没有啥限制,钓鱼页面也能应用进来,这个就是设计上的漏洞

  9. 2012-04-28 12:01 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    还没修复。。刚好赶上五一。。

  10. 2012-04-28 12:09 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    这个很火!貌似yingyong都关了!

  11. 2012-04-28 12:13 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    精心构造下,可以获取 cookis,淘宝碉堡了

  12. 2012-04-28 12:14 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    cookies 打快了, wooyun没回复 编辑功能么。

  13. 2012-04-28 12:17 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    @Eoh 还不如钓鱼,中个啥大奖,然后一个弹出层,要求重新登录,然哈把帐号密码发到指定邮箱多好,嘿嘿

  14. 2012-04-28 12:20 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    @冷冷的夜 邪恶的人类啊,我想复杂了,你这个方法容易多了。采纳你的意见,+100Rank

  15. 2012-04-28 12:28 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    这个。。怎讲会忽略,谁能告诉我怎么会啊。。。。

  16. 2012-04-28 12:45 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)

    亲们快点弄个登录框钓鱼啊亲

  17. 2012-04-28 13:25 | 疏懒 ( 普通白帽子 | Rank:359 漏洞数:42 | 不能尽如人意,但求知足常乐~!)

    修复了就好~

  18. 2012-04-28 13:37 | 我怀念的 ( 实习白帽子 | Rank:45 漏洞数:8 | 我怀念的是无话不说,我怀念的是一起做梦!)

    早知道给无视,哥哥钓几天鱼 在发出来@

  19. 2012-04-28 14:07 | cy3ber ( 路人 | Rank:3 漏洞数:1 | 11</textarea><script>alert(xss)</script>)

    现在的厂商都是蛋疼的命,忽略个漏洞 没几小时就去修复了 给点rank会怀孕啊

  20. 2012-04-28 15:40 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    修复了,我强烈要求 以后有事情去 wooyun的论坛发,刚刚写好钓鱼程序,几分钟后就修复了,不是说忽略的吗?有种别修复啊……,杯具到……还打算5.1玩玩钓鱼的呢

  21. 2012-05-21 18:28 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    @Eoh 我觉得wooyun应该出个制度保障白帽的辛苦付出,而不是像现在这样,忽略完立刻打补丁,这是对白帽的不尊重。