当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113929

漏洞标题:bilibili某站点存在OpenSSL heart bleeding漏洞

相关厂商:bilibili.com

漏洞作者: lijiejie

提交时间:2015-05-13 16:59

修复时间:2015-05-31 06:58

公开时间:2015-05-31 06:58

漏洞类型:系统/服务补丁不及时

危害等级:中

自评Rank:6

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-13: 细节已通知厂商并且等待厂商处理中
2015-05-15: 厂商已经确认,细节仅向厂商公开
2015-05-25: 细节向核心白帽子及相关领域专家公开
2015-05-31: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

bilibili某站点存在OpenSSL heart bleeding漏洞

详细说明:

漏洞站点:

https://stat.bilibili.tv/


可以获取少量带sign的URL,可以抓到非明文密码。

漏洞证明:

bilibili.png


示例抓到的几个URL,带签名sign和pwd:

http://www.bilibili.com/m/send_error_report?domain={DOMAIN}&server={SERVER}&ref={REF}&uri={ENC_URI}&ERRNO=404&USERIP={USERIP}
http://www.bilibili.com/mobile/index.html&keeptime=604800&userid=13737777934&pwd=CkGGvR6rF7V8np9L5qW5A/ce9PqjaczNhg8zSHe55hty/YM0WnJluAIekwS/8dFI070lbnmuECVozFiynIYwcQ==&vdcode=1y5hk#
https://account.bilibili.com/login?api=http%3A%2F%2Fpay.wan.biligame.com%2F&appkey=271a266cffdd6568&sign=b7be6dd107995de5f8d5ae00e61d6b51&keeptime=604800&userid=1006920811@qq.com&pwd=cQ0SJ4yE52irKCdz+M2eX1FOTyNR2Xh7Zb3Z2fwLpFoC/IxBAbksLCAMhbUvVNWMfPOVj9hh6finZckiqPZHqA==&vdcode=QKMJY
https://account.bilibili.com/login?api=http%3A%2F%2Fbbs.biligame.com%2Fbilibili_connect.php%3Fmod%3Dauth%26op%3Dcallback&appkey=8907c61e930c789c&sign=08935705a03bd85cf311a87de74a7899&keeptime=604800&userid=913491169@qq.com&pwd=pqTqBiGnoBQfJixxBLVPLxlXCNCC7Kk7kBN7u9QvD/13vsA6zv6MfNC73KxWaV4VtXo7wZmjlvCPTf+miqrHiA==&vdcode=2J4TXo=

修复方案:

patch

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-05-15 15:50

厂商回复:

已修复 谢谢

最新状态:

2015-05-31:已修复 谢谢

漏洞评价:

评论

  1. 2015-05-14 09:58 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    bilibili