漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某互金平台CSRF一枚
提交时间:2014-09-22 11:35
修复时间:2014-09-27 11:36
公开时间:2014-09-27 11:36
漏洞类型:CSRF
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-09-22: 细节已通知厂商并且等待厂商处理中
2014-09-27: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
设置安全问题画面要先进行安全问题验证才可以重设安全问题。
由于存在CSRF,可以绕过安全问题验证,直接重设。
详细说明:
CSRF的FORM,登录后直接访问:
修改成功:
漏洞证明:
使用新登录的安全问题,通过了验证。证明有登录成功。
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-09-27 11:36
厂商回复:
最新状态:
2014-09-27:该漏洞已修复。
2014-09-28:该漏洞当天我们已经修复,由于未及时的查看乌云的状态,导致该漏洞时间过久被忽略掉了,谢谢漏洞作者。
漏洞评价:
评论