当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026679

漏洞标题:淘宝店铺可插入恶意代码,打开页面直接被强行跳转

相关厂商:淘宝网

漏洞作者: skysheep

提交时间:2013-06-23 10:45

修复时间:2013-06-24 10:39

公开时间:2013-06-24 10:39

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:6

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-23: 细节已通知厂商并且等待厂商处理中
2013-06-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

利用淘宝模版,聚流量服务,潜入恶意跳转代码.诱骗网民.欺诈购物.可导致风险钓鱼.恶意淘宝客

详细说明:

利用淘宝模版,聚流量服务,潜入恶意跳转代码.诱骗网民.可欺诈购物.可导致风险钓鱼.恶意淘宝客
该代码一旦被钓鱼的利用.旺旺都不会拦截.
为了网民安全,为了淘宝商户利益
安全连接通过产品连接点击该淘宝页面
我简单的看了一下代码
利用了模版+服务功能,批量插入代码.
看代码位置
案例网址
http://shop104867991.taobao.com/
代码内潜入 框架代码.
www.taotantan.com/trans2/share/share-show?sellerNick=ilikezl&width=950&url=

QQ图片20130623010110.jpg


http://ftpitwhc.3.chinazhost.com/to.php
最终跳转到 淘宝客连接.
http://s.click.taobao.com/t_js?tu=http%3A%2F%2Fs.click.taobao.com%2Ft%3Fe%3DzGU34CA7K%252BPkqB05%252Bm7rfGGjlY60oHcc7bkKOQiRddrNEyGLx31dnc6%252Fz%252BaQS2UNDUWpebTcEEjBuk1W5odmLS8%253D%26pid%3Dmm_40208125_0_0%26ref%3Dhttp%253A%252F%252Fwww.huaxiayes.com%252Fishows.html%26et%3DjFBDOb%252FIN4eE6A%253D%253D
www.taotantan.com/trans2/share/share-show?sellerNick=ilikezl&width=950&url=
bug虽小风险巨大.赶紧修补吧.

漏洞证明:

利用淘宝模版,聚流量服务,潜入恶意跳转代码.诱骗网民.欺诈购物.可导致风险钓鱼.恶意淘宝客
安全连接通过产品连接点击该淘宝页面
案例网址
http://shop104867991.taobao.com/
代码内潜入 框架代码.
www.taotantan.com/trans2/share/share-show?sellerNick=ilikezl&width=950&url=
http://ftpitwhc.3.chinazhost.com/to.php
最终跳转到

修复方案:

你比我懂 gift在那里

版权声明:转载请注明来源 skysheep@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-24 10:39

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-23 20:58 | 金属狂人 ( 路人 | Rank:0 漏洞数:1 | 这个人很懒,什么都没留下。)

    这个关注~

  2. 2013-06-23 22:36 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:19 | "/upload/avatar/avatar_251_b.jpg" />)

    简介=详细内容?