漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯微博CSRF刷粉丝漏洞-3
相关厂商:腾讯
提交时间:2013-04-02 14:28
修复时间:2013-05-17 14:28
公开时间:2013-05-17 14:28
漏洞类型:CSRF
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-04-02: 细节已通知厂商并且等待厂商处理中
2013-04-03: 厂商已经确认,细节仅向厂商公开
2013-04-13: 细节向核心白帽子及相关领域专家公开
2013-04-23: 细节向普通白帽子公开
2013-05-03: 细节向实习白帽子公开
2013-05-17: 细节向公众公开
简要描述:
乌云王说腾讯是GDP的自造者!
详细说明:
真是不小心发现的,好吧,LOOK!
1)注册一个干净的帐号,访问以下POC例子;
2)看运行POC效果;
3)刷新微博成功收听乌云官方微博;
4)经测试hash值必须有,但是所有帐号能够通用;
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2013-04-03 14:05
厂商回复:
目前此处已有csrf token布署,同时我们会确认此token生成算法是否符合公司安全规范。
最新状态:
暂无
漏洞评价:
评论
-
2013-04-02 14:36 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:172 )
@xsser 我觉得我是乌云错别字之王呀,貌似每个洞子都有好多错别字-_-|
-
2013-04-02 14:40 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:41 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@se55i0n 你谦虚了,其实你不只是错别字多,而且还没标点呢。。哈哈。。
-
2013-04-02 14:43 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:172 )
-
2013-04-02 15:00 |
带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)
-
2013-04-02 15:34 |
lucky ( 普通白帽子 | Rank:409 漏洞数:81 | 三人行必有我师焉########################...)
-
2013-04-02 16:52 |
Falcon ( 路人 | Rank:0 漏洞数:2 | 专业从事,暗杀,刺杀,投毒,潜伏,搏击,...)
-
2013-04-02 17:03 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:172 )
-
2013-04-02 19:29 |
leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)
-
2013-04-02 21:02 |
流星warden ( 实习白帽子 | Rank:54 漏洞数:5 | The quieter you become,the more you are ...)
-
2013-04-03 13:32 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)
-
2013-04-03 15:21 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:172 )
@腾讯 你们流弊,你们是不是想告诉我hash是通过ip和硬件id计算出来的,所以,只要ip和硬件id不变hash就能通用...
-
2013-05-13 11:00 |
Falcon ( 路人 | Rank:0 漏洞数:2 | 专业从事,暗杀,刺杀,投毒,潜伏,搏击,...)
@se55i0n 晚上插你水表去!看你是不是良民!哈哈哈!
-
2013-06-03 10:10 |
Jasonx ( 路人 | Rank:0 漏洞数:3 | BIT)
@se55i0n 洞主你的csrf漏洞都有用别的账号试验一下吗?看你的几个csrf都有token验证啊
