漏洞概要
关注数(24)
关注此漏洞
漏洞标题:雪球Android客户端空指针异常及信息泄露漏洞
相关厂商:雪球
提交时间:2014-01-06 15:18
修复时间:2014-04-03 15:19
公开时间:2014-04-03 15:19
漏洞类型:设计错误/逻辑缺陷
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-01-06: 细节已通知厂商并且等待厂商处理中
2014-01-11: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-03-07: 细节向核心白帽子及相关领域专家公开
2014-03-17: 细节向普通白帽子公开
2014-03-27: 细节向实习白帽子公开
2014-04-03: 细节向公众公开
简要描述:
雪球最新Android客户端存在空指针异常及信息泄露漏洞。
详细说明:
雪球客户端版本:4.1
adb shell 下执行下面命令,虚拟机将崩溃。愿意在于空指针调用
简单测试:
am startservice -n com.xueqiu.android/com.umeng.common.net.DownloadingService
信息泄露:
App代码中多出有测试代码出现,如sys.out.print 等信息泄露。
测试方法:
logcat中可直接输出。
还有一些接口中未引入验证IP地址,token可被滥用危险
https://mas.xueqiu.com/allocate.json?client=1&access_token=CINudeAODMNoyPuxwoeObu
漏洞证明:
修复方案:
1:改成service exported false
2:删除多余测试代码,验证token
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-04-03 15:19
厂商回复:
最新状态:
暂无