漏洞概要
关注数(24)
关注此漏洞
漏洞标题:双十一淘宝论坛惊现“路由器CSRF”恶意攻击代码(其他论坛可能一样中招)
提交时间:2013-11-11 12:10
修复时间:2013-12-26 12:10
公开时间:2013-12-26 12:10
漏洞类型:钓鱼欺诈信息
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-11-11: 细节已通知厂商并且等待厂商处理中
2013-11-11: 厂商已经确认,细节仅向厂商公开
2013-11-21: 细节向核心白帽子及相关领域专家公开
2013-12-01: 细节向普通白帽子公开
2013-12-11: 细节向实习白帽子公开
2013-12-26: 细节向公众公开
简要描述:
貌似很多人已经发现了,有一个报告来自微博上的@挖路 ,不知又多少人中招。。。
详细说明:
首先地址是这个:http://bbs.taobao.com/catalog/thread/508895-264831340.htm
是淘宝没错吧,打开后发现了个401基础认证的密码输入框。
分析网页源码,果然又看到了传说中的“路由CSRF”攻击代码
往上追一追,来自一张极小的图片,这个图片直接给用户返回302跳转
在看下这人帖子中这张诡异的“图片”
漏洞证明:
关键页面代码存个档
这张图有问题
http://img01.taobaocdn.co/tps/i1/T1VyTrXbNuXXX3nwbb-9-16.png
另外 taobaocdn.co 这个域名真心不是没复制全,就是这个,非常具有迷惑性。。。
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-11-11 16:31
厂商回复:
感谢你对我们的支持与关注哦,该问题我们正在修复中~~
最新状态:
暂无
漏洞评价:
评论
-
2013-11-11 12:11 |
神丘 ( 路人 | Rank:5 漏洞数:3 | 为了Q币努力啊,等腾讯开银行了我就存Q币。)
-
2013-11-11 12:15 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2013-11-11 12:17 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-11-11 12:18 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
-
2013-11-11 12:18 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
@疯狗 @xsser @肉肉 乌云集市是不是该半价了~ o(∩_∩)o
-
2013-11-11 12:20 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2013-11-11 12:26 |
乌云最帅的淫 ( 实习白帽子 | Rank:51 漏洞数:23 | 不以淫荡惊天下,就以闷骚动世人)
@疯狗 @xsser 我才提交那个淘宝的比这个危害更大.请速审
-
2013-11-11 12:26 |
佐瞳 ( 路人 | Rank:2 漏洞数:3 | 专业小白二十年~)
-
2013-11-11 12:33 |
M0nster ( 实习白帽子 | Rank:53 漏洞数:17 | 允许我国的艺术家先富起来)
双十一我仔细的想了一下,我没什么可买的,什么都不缺,就缺钱....
-
2013-11-11 12:37 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-11-11 12:45 |
小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)
-
2013-11-11 12:46 |
乌云最帅的淫 ( 实习白帽子 | Rank:51 漏洞数:23 | 不以淫荡惊天下,就以闷骚动世人)
-
2013-11-11 13:18 |
寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)
-
2013-11-11 18:15 |
流星warden ( 实习白帽子 | Rank:54 漏洞数:8 | The quieter you become,the more you are ...)
