漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-026679
漏洞标题:淘宝店铺可插入恶意代码,打开页面直接被强行跳转
相关厂商:淘宝网
漏洞作者: skysheep
提交时间:2013-06-23 10:45
修复时间:2013-06-24 10:39
公开时间:2013-06-24 10:39
漏洞类型:钓鱼欺诈信息
危害等级:中
自评Rank:6
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-23: 细节已通知厂商并且等待厂商处理中
2013-06-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
利用淘宝模版,聚流量服务,潜入恶意跳转代码.诱骗网民.欺诈购物.可导致风险钓鱼.恶意淘宝客
详细说明:
利用淘宝模版,聚流量服务,潜入恶意跳转代码.诱骗网民.可欺诈购物.可导致风险钓鱼.恶意淘宝客
该代码一旦被钓鱼的利用.旺旺都不会拦截.
为了网民安全,为了淘宝商户利益
安全连接通过产品连接点击该淘宝页面
我简单的看了一下代码
利用了模版+服务功能,批量插入代码.
看代码位置
案例网址
http://shop104867991.taobao.com/
代码内潜入 框架代码.
www.taotantan.com/trans2/share/share-show?sellerNick=ilikezl&width=950&url=
http://ftpitwhc.3.chinazhost.com/to.php
最终跳转到 淘宝客连接.
http://s.click.taobao.com/t_js?tu=http%3A%2F%2Fs.click.taobao.com%2Ft%3Fe%3DzGU34CA7K%252BPkqB05%252Bm7rfGGjlY60oHcc7bkKOQiRddrNEyGLx31dnc6%252Fz%252BaQS2UNDUWpebTcEEjBuk1W5odmLS8%253D%26pid%3Dmm_40208125_0_0%26ref%3Dhttp%253A%252F%252Fwww.huaxiayes.com%252Fishows.html%26et%3DjFBDOb%252FIN4eE6A%253D%253D
www.taotantan.com/trans2/share/share-show?sellerNick=ilikezl&width=950&url=
bug虽小风险巨大.赶紧修补吧.
漏洞证明:
利用淘宝模版,聚流量服务,潜入恶意跳转代码.诱骗网民.欺诈购物.可导致风险钓鱼.恶意淘宝客
安全连接通过产品连接点击该淘宝页面
案例网址
http://shop104867991.taobao.com/
代码内潜入 框架代码.
www.taotantan.com/trans2/share/share-show?sellerNick=ilikezl&width=950&url=
http://ftpitwhc.3.chinazhost.com/to.php
最终跳转到
修复方案:
你比我懂 gift在那里
版权声明:转载请注明来源 skysheep@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-06-24 10:39
厂商回复:
最新状态:
暂无