当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-049618

漏洞标题:盛大某分站后台未授权可进入操作

相关厂商:盛大在线

漏洞作者: 小龙

提交时间:2014-01-23 11:01

修复时间:2014-03-09 12:06

公开时间:2014-03-09 12:06

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-23: 细节已通知厂商并且等待厂商处理中
2014-01-23: 厂商已经确认,细节仅向厂商公开
2014-02-02: 细节向核心白帽子及相关领域专家公开
2014-02-12: 细节向普通白帽子公开
2014-02-22: 细节向实习白帽子公开
2014-03-09: 细节向公众公开

简要描述:

大大,我来了

详细说明:

http://t.xcb.sdo.com/admincp/RecommendUsers.aspx


删除一个看看啊,其中的分组包括:官方认证用户,人气用户,论坛版主,都有账号可以看,丢社工库撞出来一个就……

编辑 删除	1243345012		2011/10/18 17:22:54	 官方认证用户	test	如花66	如花66	ilovesdg


删除下试试

漏洞证明:

1390443386529.png


1390443427649.png


可以看到如花奇迹般的消失了,不知道大大会不会说在其他渠道得知了,特给1rank,要不是我和大大熟,我死的心都有了——-_-|

修复方案:

不是所有的站都是安全的,当你向楼主丢一个礼物的话,过年你会拿到年终奖的双倍工资,信不信由你,至于你信不信,反正我是信了。

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-01-23 11:16

厂商回复:

谢谢报告,后台就这一个页面非授权访问,佩服洞主的精确打击能力。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-01-23 11:19 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @盛大在线 盛大再打我一次,还真给我5分,佩服— —

  2. 2014-01-23 11:26 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)

    @小龙 佩服洞主的精确打击能力。

  3. 2014-01-23 13:17 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    射得好准