当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067634

漏洞标题:多玩YY客户端BUG(泄露用户登录IP造成用户网络中断)

相关厂商:广州多玩

漏洞作者: 风花雪月

提交时间:2014-07-06 18:36

修复时间:2014-10-01 18:38

公开时间:2014-10-01 18:38

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-06: 细节已通知厂商并且等待厂商处理中
2014-07-11: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-09-04: 细节向核心白帽子及相关领域专家公开
2014-09-14: 细节向普通白帽子公开
2014-09-24: 细节向实习白帽子公开
2014-10-01: 细节向公众公开

简要描述:

RT

详细说明:

利用代码
[dyimg]hfs图片地址[/dyimg]

1.jpg


YY上玩DDOS的太多,相信官方也很关注!所以用户的IP是很重要的!

漏洞证明:

利用代码
[dyimg]hfs图片地址[/dyimg]

1.jpg

修复方案:

我就搞不懂为什么客户端能发这种标签!是不是要添加些过滤代码

版权声明:转载请注明来源 风花雪月@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-10-01 18:38

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-06 18:41 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    噢 大神就是抓用户IP 然后cc?

  2. 2014-07-06 18:56 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    ·-· 这个网络中断是怎么中断的?

  3. 2014-07-06 20:12 | 风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)

    @小怿 ddos你懂的

  4. 2014-07-06 20:30 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @风花雪月 原来如此,发送自己域名下的图片,当用户点击图片后,获得用户ip?

  5. 2014-07-06 21:35 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    YY流传已久的打主播方法?

  6. 2014-07-06 21:40 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

    主播口中的鬼畜,好久了

  7. 2014-07-06 22:11 | ddy ( 实习白帽子 | Rank:44 漏洞数:16 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    @疯子 又不是网站,cc有何用? 发点包过去就会掉线吧,和QQ发图片弄到IP地址差不多吧?

  8. 2014-07-06 22:15 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @ddy WooYun: 多玩最新版本YY客户端无验证调用外部数据(可批量挂马) 和这个原理应该差不多,给主播发个图片,在加上几句话,比如,这个人你认识吗,这个人是你吗,这个人跟你特别像之类的话,引主播的好奇心,当主播一点击图片,ip就被记录下来了。

  9. 2014-07-07 10:43 | 小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)

    YY流传已久的打主播方法?

  10. 2014-07-31 01:43 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 一个热衷于网络安全的白帽子,具有很强的逻...)

    YY流传已久的打主播ip方法.....用第三方网站.肯定刷不了rank!!

  11. 2014-08-19 07:58 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    其实吧。。YY在七月初就已经做过相应的处理,只是你们没发现而已。。你们可以点系统设置,往下面拉,有个外链图片点击加载,默认是勾选的。。只要你不点掉,只要你不乱点别人给你发的图片,是获取不到ip的。