漏洞概要
关注数(24)
关注此漏洞
漏洞标题:爱丽网团购某处csrf漏洞
漏洞作者: 小龙
提交时间:2013-10-25 17:27
修复时间:2013-12-09 17:27
公开时间:2013-12-09 17:27
漏洞类型:CSRF
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-10-25: 细节已通知厂商并且等待厂商处理中
2013-10-25: 厂商已经确认,细节仅向厂商公开
2013-11-04: 细节向核心白帽子及相关领域专家公开
2013-11-14: 细节向普通白帽子公开
2013-11-24: 细节向实习白帽子公开
2013-12-09: 细节向公众公开
简要描述:
(*^__^*) 嘻嘻……
详细说明:
poc:
自己去测试吧。。
另外还有
设置默认地址,删除等等功能都不能用,而且删除那是get请求,应该可以越权删除他人收货地址
如果可以的话那就是2万4欠个收货地址可以遍历了。。。- -
漏洞证明:
poc:
自己去测试吧。。
另外还有
设置默认地址,删除等等功能都不能用,而且删除那是get请求,应该可以越权删除他人收货地址
如果可以的话那就是2万4欠个收货地址可以遍历了。。。- -
修复方案:
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2013-10-25 17:35
厂商回复:
@小龙 白帽子辛苦啦.
最新状态:
暂无
漏洞评价:
评论
-
2013-10-25 22:03 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
确认 处理,你获得了 4 rank 小厂商的节奏。。。