当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-01261

漏洞标题:淘宝网一处另类钓鱼

相关厂商:淘宝网

漏洞作者: 沙豆

提交时间:2011-01-30 12:46

修复时间:2011-02-10 14:17

公开时间:2011-02-10 14:17

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-01-30: 细节已通知厂商并且等待厂商处理中
2011-02-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

这次的案例攻击者并没有利用淘宝网的跳转,而是利用了用户的信任心理并结合一点点技术手段对用户进行欺骗,使得用户跳转到第三方网站,目前已被网络钓鱼者利用.

详细说明:

链接地址:http://item.taobao.com/item.htm?id=8897422540
攻击者借着用户对淘宝的信任,采取一种新颖的方式进行钓鱼攻击。


请大家看仔细了,注意图里边的“请复制浏览:http://item.taobao.com/item.htm?id=4064934291”,乍看之下没有什么问题,但是我们看一下代码你就明白了:


http://item.taobao.com%2ejxzbh%2ecom/item.htm/item.php?id=4064934291才是他的真正网址,而其中2ejxzbh%2ecom这部分是经过编码的一级域名,解码后是jezbh.com,
全址就是http://item.taobao.com.jezbh.com/item.htm/item.php?id=4064934291。
用户复制访问后即跳转到第三方网站。

漏洞证明:

使用浏览器访问链接:http://item.taobao.com/item.htm?id=8897422540
按照店家提示复制链接并在一文本编辑器粘贴,会发现真实的链接。

修复方案:

你懂得。

版权声明:转载请注明来源 沙豆@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-02-10 14:17

厂商回复:

该问题2010年的时候已经出现并修补过,谢谢小豆的反馈。

漏洞Rank:10 (WooYun评价)

最新状态:

暂无