视频网站安全之优酷土豆广告播放防护策略ByPass

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0155250

漏洞标题：视频网站安全之优酷土豆广告播放防护策略ByPass

漏洞作者： HackBraid

提交时间：2015-11-23 15:41

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-23：细节已通知厂商并且等待厂商处理中
2015-11-24：厂商已经确认，细节仅向厂商公开
2015-12-04：细节向核心白帽子及相关领域专家公开
2015-12-14：细节向普通白帽子公开
2015-12-24：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

通过一种方式可以使得优酷视频广告无法播放，绕过广告的播放策略防护直接播放视频

详细说明：

01# 起源
优酷是有广告播放的防护策略的，看下面就有80多秒的广告：

或者使用了放广告的插件会出现如下提示：

经过抓包分析并使用一些小方法成功绕过了各种1分钟左右的广告播放

漏洞证明：

02# host捆绑ByPass
经过抓包分析，发现广告用的域名大致如下：

总结起来并将如下的加入hosts文件就能绕过了（记得清除下浏览器的历史纪录，要不然缓存还是影响测试结果）：

127.0.0.1       stat.youku.com
127.0.0.1       static.lstat.youku.com
127.0.0.1       static.atm.youku.com/crossdomain.xml
127.0.0.1       valb.atm.youku.com
127.0.0.1       valc.atm.youku.com
127.0.0.1       valf.atm.youku.com
127.0.0.1       valo.atm.youku.com
127.0.0.1       valp.atm.youku.com
127.0.0.1       vid.atm.youku.com
127.0.0.1       walp.atm.youku.com

完美去广告！

修复方案：

这里应该判断超时来进行处理吧

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-11-24 13:41

厂商回复：

感谢@HackBraid提醒！漏洞修复中！

漏洞评价：

评价

2015-11-23 16:25 | 泳少 ( 普通白帽子 | Rank:233 漏洞数:81 | ★ 梦想这条路踏上了，跪着也要...)

以后我的种子都不知道用什么视频播放了。被你天天这么搞
2015-11-23 16:38 | HackBraid ( 核心白帽子 | Rank:1841 漏洞数:292 | HackBraid昵称的由来是一款名为Braid的游戏...)

@泳少 - -没那么严重，都是小问题
2015-11-23 18:30 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

@HackBraid 我觉得这种问题留着玩多好
2015-11-23 22:05 | 小川 ( 核心白帽子 | Rank:1451 漏洞数:223 | 一个致力要将乌云变成搞笑论坛的男人)

下个布丁动画，土豆、优酷、腾讯、搜狐、爱奇艺都没广告的
2015-11-24 09:12 | HackBraid ( 核心白帽子 | Rank:1841 漏洞数:292 | HackBraid昵称的由来是一款名为Braid的游戏...)

@小川发现了。。。
2015-11-24 13:51 | HackBraid ( 核心白帽子 | Rank:1841 漏洞数:292 | HackBraid昵称的由来是一款名为Braid的游戏...)

@niliu 回复中的@不能用，我没看到提醒，多谢高rank

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0155250

漏洞标题：视频网站安全之优酷土豆广告播放防护策略ByPass

相关厂商：优酷

漏洞作者： HackBraid

提交时间：2015-11-23 15:41

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0155250

漏洞标题：视频网站安全之优酷土豆广告播放防护策略ByPass

相关厂商：优酷

漏洞作者： HackBraid

提交时间：2015-11-23 15:41

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0155250"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：