漏洞概要
关注数(24)
关注此漏洞
漏洞标题:乌云授权查看链接泄露那些事儿(不要到处乱发状态跟踪页面)
提交时间:2015-04-01 12:04
修复时间:2015-04-01 12:10
公开时间:2015-04-01 12:10
漏洞类型:未授权访问/权限绕过
危害等级:低
自评Rank:1
漏洞状态:厂商已经修复
Tags标签:
无
漏洞详情
披露状态:
2015-04-01: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经确认,细节仅向厂商公开
2015-04-01: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
狗哥表打我...
详细说明:
就在易车那个洞发给狗哥审核的一念之间。
so,google、百度之
漏洞证明:
未登录状态下访问
修复方案:
懂...至于Rank尼们看着给吧~
在页面头部加入
<meta name="robots" content="none" />
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2015-04-01 12:06
厂商回复:
问题确认,源自白帽子以及企业错误的将漏洞信息跟踪页面发到互联网上,导致被搜索引擎纪录,正在加入防爬功能。
最新状态:
2015-04-01:在这两个跟踪页面已经加入“<meta name="robots" content="none" />”对SEO爬虫进行限制(如果国内搜索引擎爬虫真的遵守规矩的话)。最后还是希望企业与白帽子保存好漏洞状态链接,不要主动分享。
漏洞评价:
评论
-
2015-04-01 12:46 |
robots ( 路人 | 还没有发布任何漏洞 | www.baidu.com)
-
2015-04-01 13:12 |
MITM ( 普通白帽子 | Rank:167 漏洞数:25 | 先空着)
貌似百度不支持none。百度的官方文档只提支持nofollow和noarchive[1]。另外从[2]也能看出来百度不支持noindex,所以还是用robots.txt吧。[1] http://help.baidu.com/question?prod_en=search&class=499[2] https://www.baidu.com/s?wd=%22%E7%89%88%E6%9C%AC%E9%97%B4%E7%9A%84%E5%B7%AE%E5%BC%82%22%20site%3Azh.wikipedia.org&pn=0&oq=%22%E7%89%88%E6%9C%AC%E9%97%B4%E7%9A%84%E5%B7%AE%E5%BC%82%22%20site%3Azh.wikipedia.org&ie=utf-8
-
2015-04-01 13:26 |
爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
... 还是被你发出来了。。。 大表哥已经分享经验一年了
-
2015-04-01 14:21 |
泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
(如果国内搜索引擎爬虫真的遵守规矩的话)。这句话亮了。。
-
2015-04-01 14:33 |
Comer ( 普通白帽子 | Rank:336 漏洞数:40 | 关注安全 | 关注智能漏洞挖掘)
@大表哥 前辈好~话说国内搜索引擎为何抛弃你 - - || @robots
-
2015-04-01 14:52 |
爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
-
2015-04-01 16:29 |
10457793 ( 普通白帽子 | Rank:867 漏洞数:128 | 说好的借,为什么从来不还?O(∩_∩)O)
建议乌云重置一下auth吧 百度搜索泄露了好多打mask标签的东西
-
2015-04-01 18:18 |
炮灰乙 ( 路人 | Rank:6 漏洞数:4 | 我叫路人甲,我住在中国)
-
2015-04-02 09:54 |
六都仔刘满 ( 路人 | 还没有发布任何漏洞 | 我自横刀向天笑,去留肝胆两昆仑!)
(如果国内搜索引擎爬虫真的遵守规矩的话)。这句话亮了。。
-
2015-05-28 14:08 |
abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)
http://www.wooyun.org/bugs/wooyun-2010-0101423/trace/85373912f617710f567c8872ca6cf00f这不科学,我以为只有乌云厂商能看到那