漏洞概要
关注数(24)
关注此漏洞
漏洞标题:爱丽网漏洞小礼包
提交时间:2015-06-03 18:31
修复时间:2015-07-18 20:18
公开时间:2015-07-18 20:18
漏洞类型:CSRF
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-03: 厂商已经确认,细节仅向厂商公开
2015-06-13: 细节向核心白帽子及相关领域专家公开
2015-06-23: 细节向普通白帽子公开
2015-07-03: 细节向实习白帽子公开
2015-07-18: 细节向公众公开
简要描述:
爱丽网漏洞小礼包,随时改你的资料。谁不知道我大表哥我是Helen社工帝。此号被社by:Helen
详细说明:
漏洞证明:
废话就不多说了,直接上图和贴上CSRF POC的代码。
首先贴上我的资料图片
这里的保存的请求数据包我就不贴上了。我直接贴上POC代码就行了,代码如下:
下面访问以下我构造的变单!结果截图如下:
虽然漏洞的危害性不大,但是还是算漏洞吧。
修复方案:
加上token验证之类的。求礼物,晚上甩第二个洞洞出来!
版权声明:转载请注明来源 苏安泽@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-06-03 20:17
厂商回复:
好久没有人提洞洞了,终于来一个啦……
最新状态:
暂无
漏洞评价:
评论
-
2015-06-03 20:40 |
苏安泽 ( 实习白帽子 | Rank:73 漏洞数:25 | 敢不敢关注一下,<script>alert('关注成功'...)
哎,又是走小厂商的节奏啊。厂商给我的10Rank,乌云却给我发了2个的Rank,苦啊!我还是农村人啊、@浩天@疯狗@肉肉@小秘书
-
2015-06-10 12:05 |
爱丽网(乌云厂商)
-
2015-06-10 19:03 |
苏安泽 ( 实习白帽子 | Rank:73 漏洞数:25 | 敢不敢关注一下,<script>alert('关注成功'...)
-
2015-09-11 18:56 |
BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)