漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-015074
漏洞标题:360游戏网站设置缺陷,导致泄露用户隐私。
相关厂商:奇虎360
漏洞作者: _Evil
提交时间:2012-11-21 19:12
修复时间:2013-01-05 19:13
公开时间:2013-01-05 19:13
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-21: 细节已通知厂商并且等待厂商处理中
2012-11-22: 厂商已经确认,细节仅向厂商公开
2012-12-02: 细节向核心白帽子及相关领域专家公开
2012-12-12: 细节向普通白帽子公开
2012-12-22: 细节向实习白帽子公开
2013-01-05: 细节向公众公开
简要描述:
霸气泄露,希望给个U盘。
剑心:安全用数据说话!
详细说明:
测试1);http://wan.360.cn/v/search/123 (123随便示范下的)
2)去尝试下。
加了好友抓包下:
&fid=199090080就是那个杀手123的对应ID恩。
3)去发个消息给他吧。
4)霸气泄露地方注意哦!
搜索
qq email各种没有。。。 这个哥们没留信息啊! 重新试个。
........步骤你懂的。
貌似他们不喜欢留QQ???
PS:注意,重点是需要给要看信息的帐号发送信息,然后在http://wan.360.cn/v/chat,可见即可,在访问http://wan.360.cn/v/getchat 获取用户信息。
漏洞证明:
修复方案:
callback不用返回那些数据。
版权声明:转载请注明来源 _Evil@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2012-11-22 01:39
厂商回复:
感谢您的反馈,首先确定我们的接口是符合安全隐私策略的,这里提到的敏感信息(QQ、Phone等)只是key保留输出,内容并没有输出。
而Email也是产品设计上允许公开可见的。我们会尽快取消Key的保留输出。再次感谢您的反馈。
最新状态:
暂无