漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03507
漏洞标题:淘宝网钓鱼两枚
相关厂商:淘宝网
漏洞作者: zeracker
提交时间:2011-12-03 10:31
修复时间:2011-12-05 11:49
公开时间:2011-12-05 11:49
漏洞类型:钓鱼欺诈信息
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-03: 细节已通知厂商并且等待厂商处理中
2011-12-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
淘宝钓鱼网站2个,相似度极高。具体看下图及链接。
详细说明:
http://item.taobao.com.reidd.osa.pl/item_htm.asp?id=165&5526535
http://item.taobao-com.qjpcs.tk/item_htm.asp?id=2215&2515238
url加密后的效果,大家都知道。
漏洞证明:
改如何利用,我就不多说了。。我只知道每天有很多人为此被骗多少钱。。
修复方案:
严打,虽然不是官方的错,但是用户的安全,厂家需要负一定的责任。
版权声明:转载请注明来源 zeracker@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-12-05 11:49
厂商回复:
感谢反馈。
这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:
1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。
2. 我们会对IM旺旺和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。
3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。
4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。
漏洞Rank:2 (WooYun评价)
最新状态:
2011-12-05:感谢反馈。这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。