2014-04-27:细节已通知厂商并且等待厂商处理中
2014-05-02:厂商已经主动忽略漏洞,细节向公众公开
RT-
详细说明:接上一个 易车网某站跨站导致大量用户数据泄露(大数据系列300万)
后台内“用户管理”处有一“批量统一发送车币”功能。
前台注册了一个账户“roots”
然后后台给此账户发送车币:888888
本以为车币就是站内的一种积分功能,么想到还可以换东西...这样就成了形式上的“送钱”!
在前台可换取各种礼物及对应金额的洗车券等等
后台还有处“批量定制发送车币”
此处可给全部用户发送弹窗消息...(比如:推送广告...)
修复方案:
版权声明:转载请注明来源 小威@乌云 漏洞回应 厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-04-27 22:34
厂商回复: 最新状态:暂无