当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024976

漏洞标题:115网盘个人资料修改有csrf

相关厂商:广东雨林木风计算机科技有限公司

漏洞作者: 基佬库克

提交时间:2013-06-03 17:27

修复时间:2013-07-18 17:28

公开时间:2013-07-18 17:28

漏洞类型:CSRF

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-03: 细节已通知厂商并且等待厂商处理中
2013-06-03: 厂商已经确认,细节仅向厂商公开
2013-06-13: 细节向核心白帽子及相关领域专家公开
2013-06-23: 细节向普通白帽子公开
2013-07-03: 细节向实习白帽子公开
2013-07-18: 细节向公众公开

简要描述:

115网盘个人资料修改有csrf

详细说明:

个人资料这里,

115-1.png


post的其实用get也行。。
到圈子发张图
http://my.115.com/?ct=account&ac=update_user_info&form%5Buser_name%5D=xxxxxx
看改了

115-2.png


还有不少的地方有,比如加好友
然后要命的是那个 用钱摇摇的地方也有。。把人钱用掉了
然后打赏的地方你猜有没有??

漏洞证明:

上面都说了,基本全站好多地方都有,不一一列举。。
顺便给个年会吧。。

修复方案:

代币,refer,get检查。。

版权声明:转载请注明来源 基佬库克@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-06-03 19:40

厂商回复:

非常感谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-03 18:22 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    我有预感要忽略...

  2. 2013-06-03 19:51 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @广东雨林木风计算机科技有限公司 115和ylmf不是木有关系了吗..