漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-011955
漏洞标题:刷乌云WB漏洞
相关厂商:乌云官方
漏洞作者: only_guest
提交时间:2012-09-10 00:10
修复时间:2012-10-25 00:10
公开时间:2012-10-25 00:10
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-10: 细节已通知厂商并且等待厂商处理中
2012-09-10: 厂商已经确认,细节仅向厂商公开
2012-09-20: 细节向核心白帽子及相关领域专家公开
2012-09-30: 细节向普通白帽子公开
2012-10-10: 细节向实习白帽子公开
2012-10-25: 细节向公众公开
简要描述:
庆祝乌云兑换平台上线.
发个刷乌云WB的漏洞.
我没刷多少..删我WB的MJJ!
详细说明:
闪电小子今天无聊进入乌云社区的时候点了我的帖子.顺手点了感谢.
竟然感谢成功了!
他的帐号是新号码.没发过任何漏洞.也没有WB...
竟然感谢成功了.
我的WB也增加了一个.
于是换了马甲尝试.
依然可以成功.
看图吧..
感谢伟大的gainover编写的利用程序...虽然这个程序只用了一次...
漏洞证明:
修复方案:
....剑心你懂的
版权声明:转载请注明来源 only_guest@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2012-09-10 16:52
厂商回复:
感谢反馈,我们正在跟进处理(腾讯体)
问题在于一个逻辑中的小错误,由于乌云币比较重要,所以所有的操作都会留有log,我们已经恢复了相应的错误数据,同时对于涉及经济体系的系统建议各位有内置的财务审查机制
最新状态:
暂无