漏洞概要
关注数(24)
关注此漏洞
漏洞标题:米折网漏洞小礼包
提交时间:2015-06-11 11:47
修复时间:2015-07-26 11:56
公开时间:2015-07-26 11:56
漏洞类型:CSRF
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-06-11: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开
简要描述:
米折网漏洞小礼包一个。非你莫属
详细说明:
漏洞证明:
CSRF漏洞,在修改个人资料处。在保存资料处抓包,请求的数据我就不贴上了,传输的都是明文。
SCRF POC代码如下:
访问我在本地构造的这个表单后:
修复方案:
加上token或其他认证。还有就是请求的那些值建议加密一下吧,传输的都是明文。礼物在哪里欧耶!
版权声明:转载请注明来源 苏安泽@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-06-11 11:55
厂商回复:
感谢反馈,我们会尽快处理
最新状态:
暂无
漏洞评价:
评论
-
2015-07-03 11:15 |
闰土 ( 路人 | Rank:4 漏洞数:1 | 我是你爹)
这么一个洞也能通过并且10RK,我们信心真是大大大增啊
-
2015-07-03 16:53 |
苏安泽 ( 实习白帽子 | Rank:73 漏洞数:25 | 敢不敢关注一下,<script>alert('关注成功'...)
@闰土 呵呵,大牛你见笑了。CSRF不是洞?蠕虫都靠他的,知道大牛你很厉害,我们菜鸟级别的请你绕道。