漏洞概要
关注数(24)
关注此漏洞
漏洞标题:边锋网络某游戏可恶意串改直播内容(未做限制可推送RTMP直播源)
提交时间:2014-06-19 14:28
修复时间:2014-08-03 14:30
公开时间:2014-08-03 14:30
漏洞类型:恶意信息传播
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-06-19: 细节已通知厂商并且等待厂商处理中
2014-06-19: 厂商已经确认,细节仅向厂商公开
2014-06-29: 细节向核心白帽子及相关领域专家公开
2014-07-09: 细节向普通白帽子公开
2014-07-19: 细节向实习白帽子公开
2014-08-03: 细节向公众公开
简要描述:
配置不当,导致敏感信息泄漏,于是可以乱搞。
详细说明:
战旗服务器没有限制rtmp推送源,导致可以匿名推送任何直播源,从而影响正常的直播。
查看任意直播频道的代码:
view-source:http://www.zhanqi.tv/11305
可以得到rtmp://fhlive.78diy.com/fhlive
串流码:UvDAFT08wb
然后使用OBS软件进行串流
漏洞证明:
查看效果:
修复方案:
对直播源进行认证,如IP之类的。
避免敏感信息泄漏。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2014-06-19 14:51
厂商回复:
洞主好调皮,要打pp哦。
最新状态:
2014-06-19:在修复中。。。
2014-07-08:已修复。
漏洞评价:
评论
-
2014-06-19 14:28 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2014-06-19 15:05 |
假马 ( 普通白帽子 | Rank:142 漏洞数:18 | 我存在,你婶婶的脑海里.)
-
2014-06-20 00:23 |
芙兰朵露斯卡雷特 ( 路人 | Rank:4 漏洞数:4 | 看我闪现逃走闪现逃走六不六)
@疯狗 斗鱼以前rtmp的推送地址和key直接暴露在源代码里面。。然后还多次忽略......
-
2014-06-30 18:35 |
Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)
-
2014-07-10 17:19 |
luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)
-
2014-07-11 17:31 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2014-07-16 18:48 |
hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)
-
2014-07-17 15:14 |
健宇 ( 普通白帽子 | Rank:131 漏洞数:14 | tools kid)
-
2014-08-03 17:29 |
_过客 ( 路人 | Rank:17 漏洞数:2 )
-
2014-08-07 22:23 |
乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)
