当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032679

漏洞标题:搜狐博客后台管理弱口令(涉及89万文章审核权限)

相关厂商:搜狐

漏洞作者: 灬相随灬

提交时间:2013-07-29 12:57

修复时间:2013-09-12 12:57

公开时间:2013-09-12 12:57

漏洞类型:后台弱口令

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-29: 细节已通知厂商并且等待厂商处理中
2013-07-29: 厂商已经确认,细节仅向厂商公开
2013-08-08: 细节向核心白帽子及相关领域专家公开
2013-08-18: 细节向普通白帽子公开
2013-08-28: 细节向实习白帽子公开
2013-09-12: 细节向公众公开

简要描述:

可添加博客,删除,审核博客文章,未发现可用注入点

详细说明:

00.jpg


01.jpg


02.jpg


03.jpg


漏洞证明:

url:http://61.135.151.128
user:test pass:test

修复方案:

验证码,修改弱口令 = =

版权声明:转载请注明来源 灬相随灬@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-29 13:10

厂商回复:

感谢支持

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-29 12:58 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    有点吊

  2. 2013-07-29 13:00 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    略吊

  3. 2013-07-29 13:05 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    有点屌

  4. 2013-07-29 13:06 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    略吊

  5. 2013-07-29 13:30 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    什么情况?!??!?

  6. 2013-07-29 13:45 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    抗议!我的漏洞怎么变成路人甲的了!!!@疯狗 @肉肉

  7. 2013-07-29 13:57 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @灬相随灬 你又在坑爹

  8. 2013-07-29 13:59 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @M4sk 抗议!!

  9. 2013-07-29 14:21 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @灬相随灬 看一下你自己提交几次 是不是忘记登录账号了 路人甲先提交的 审核通过之后 你才提交

  10. 2013-07-29 14:21 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @Finger 因为搜狐那个后台没有退出,我清理了COOKIES然后提交,发现变成没登陆了,我登录后再次提交,结果我的没审核过,我勒个去。。

  11. 2013-07-29 14:25 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Finger @灬相随灬 这种情况应该是提交时是没登录状态吧?漏洞细节mail给help@wooyun.org吧,我确认下漏洞所属。另外根据之前经验来看,很多问题其实都是咱们白帽自身造成的,所以提交的时候一定要多多注意,也是帮俺们减轻工作量啊.

  12. 2013-07-29 14:26 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @疯狗 细节我一发现没审核过就马上提交了。。。但是好像没人看邮箱...希望主持公道啊~

  13. 2013-07-29 14:28 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    @疯狗 求审核漏洞。。咋老不审核

  14. 2013-07-29 16:31 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @灬相随灬 看看,现在弄好了吧

  15. 2013-07-29 16:56 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @疯狗 (*^__^*) 嘻嘻

  16. 2013-07-29 16:57 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @疯狗 还有乌云币币没转过来呢、

  17. 2013-07-29 17:48 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @灬相随灬 有延迟,等等吧

  18. 2013-07-29 18:07 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @疯狗 来亲一个