2014-05-22:细节已通知厂商并且等待厂商处理中
2014-05-22:厂商已经确认,细节仅向厂商公开
2014-06-01:细节向核心白帽子及相关领域专家公开
2014-06-11:细节向普通白帽子公开
2014-06-21:细节向实习白帽子公开
2014-07-06:细节向公众公开
鲜果网随机跳转任意用户,利用其可获取大量用户鲜果隐私数据。
详细说明:鲜果登录后如下面第一张图显示,此时登录后非本人账户,旁边订阅的也非本人的,
刷新也不会正常切换到本人账户,点其他页面,会随机显示鲜果的其它用户,邮箱,订阅
的网站,你喜欢的网址,网页都可以被掌握,用户隐私暴露。
帐号还要打码啊?
修复方案:
尽快修复后台逻辑故障,不攻已经自破了。
版权声明:转载请注明来源 木头影子@乌云 漏洞回应 厂商回应:危害等级:高
漏洞Rank:15
确认时间:2014-05-22 22:38
厂商回复:感谢@路人甲, 我们尽快处理
最新状态:2014-05-23:感谢 木头影子