当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034936

漏洞标题:腾讯3366疯狂弹弹弹选服页后台管理界某功能未授权访问(可控制58个游戏区的开关)

相关厂商:腾讯

漏洞作者: fz_sea

提交时间:2013-08-22 14:46

修复时间:2013-08-23 09:58

公开时间:2013-08-23 09:58

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-22: 细节已通知厂商并且等待厂商处理中
2013-08-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可控58个服务器开启关闭,修改简报,创建更改管理员信息

详细说明:

1.逻辑错误(ESC可下断点,网页功能可执行)
(http://183.60.115.244/adduser.jsp)
2.创建管理员
3.主界面登录

漏洞证明:

url:http://183.60.115.244/
已成功创建:8770352 密码:110110

0004.jpg


003.jpg


002.jpg


001.jpg


修复方案:

修正逻辑错误

版权声明:转载请注明来源 fz_sea@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-08-23 09:58

厂商回复:

感谢你的报告,但是这不属于腾讯业务。

最新状态:

暂无