当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03508

漏洞标题:淘宝钓鱼网站2枚

相关厂商:淘宝网

漏洞作者: zeracker

提交时间:2011-12-03 10:35

修复时间:2011-12-05 11:51

公开时间:2011-12-05 11:51

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-12-03: 细节已通知厂商并且等待厂商处理中
2011-12-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

淘宝钓鱼站2枚,url加密后相似度极高..此类站点还有很多,希望你们能够重视。

详细说明:

http://item.taobao-com.qjpcs.tk/item_htm.asp?id=2215&2515238
http://item.taobao.com.reidd.osa.pl/item_htm.asp?id=165&5526535
此类站点还有很多,希望你们能够重视。

漏洞证明:

http://item.taobao-com.qjpcs.tk/item_htm.asp?id=2215&2515238
http://item.taobao.com.reidd.osa.pl/item_htm.asp?id=165&5526535
经过url加密后,一般用户无法辨认直接点击访问,达到他们需要的效果。

修复方案:

虽然这个不是官方的责任,我想用户的财产安全,厂家需要负一定责任的,希望你们能够重视,严打,特别是年底。网购现象比较热,此类情况更为严重!!!!

版权声明:转载请注明来源 zeracker@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-12-05 11:51

厂商回复:

感谢反馈。
这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:
1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。
2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。
3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。
4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。

漏洞Rank:1 (WooYun评价)

最新状态:

2011-12-05:感谢反馈。这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害:1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。2. 我们对信息和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。