漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03771
漏洞标题:多玩YY漏洞,可在YY语音平台产生多VP(突破三个)多OW(突破只能有1个)
相关厂商:广州多玩
漏洞作者: bywuxin
提交时间:2011-12-25 03:10
修复时间:2012-02-08 03:10
公开时间:2012-02-08 03:10
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-25: 细节已通知厂商并且等待厂商处理中
2011-12-26: 厂商已经确认,细节仅向厂商公开
2012-01-05: 细节向核心白帽子及相关领域专家公开
2012-01-15: 细节向普通白帽子公开
2012-01-25: 细节向实习白帽子公开
2012-02-08: 细节向公众公开
简要描述:
因为多玩YY语音平台公会后台设计、设置和服务器设置导致可同步提交产生多VP(副会)和多OW(会长),产生YY语音公会混乱。
详细说明:
因为多玩YY语音平台公会网页后台设计、设置和服务器设置导致可同步提交产生多VP(副会)和多OW(会长)。其实已经和他们说过,但他们还是未能处理得当,我们还是可以利用此漏洞卡出多VP和OW。方法:两人或者多人同时用OW号登陆后台同时在后台提交6个(每人选择不同的3个)成员为VP即可突破只能设置3个VP。突破OW原理相同,两人或者多人同时申请一个频道时(利用自主选号选择一个频道ID),同时提交数据即可,申请完成两人都是那个频道的OW,权限相同。【刚刚在精易论坛看见有人卖这个漏洞,拿走我的图做骗子,本人郑重申明从未出售过此漏洞!卖的都是骗子!】
漏洞证明:
发的截图不是最近的,是当时我们小组测试的截图,如果需要看漏洞可以联系我QQ29187586来某些我们卡好的频道看,至今漏洞依然存在。
修复方案:
改写后台Java代码,后台VP管理员和OW管理员列表限制数量。
版权声明:转载请注明来源 bywuxin@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:4
确认时间:2011-12-26 14:21
厂商回复:
谢谢提供,在处理中。
最新状态:
暂无