漏洞概要
关注数(24)
关注此漏洞
漏洞标题:豆瓣某分站命令执行以及可能劫持他人账号
相关厂商:豆瓣
提交时间:2014-02-13 11:36
修复时间:2014-03-30 11:37
公开时间:2014-03-30 11:37
漏洞类型:命令执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-02-13: 细节已通知厂商并且等待厂商处理中
2014-02-13: 厂商已经确认,细节仅向厂商公开
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-30: 细节向公众公开
简要描述:
豆瓣某站配置不当存在命令执行漏洞,加上设计上的一些问题可导致劫持他人账号,整准备测试劫持呢,站升级了,悲催啊~
详细说明:
lighttpd也有解析漏洞哟~
再看主站登陆之后的set-cookie
关键信息都是.douban.com域的,搞定blog就可以直接收集这些信息鸟,全网大劫持
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-02-13 11:49
厂商回复:
谢谢反馈〜
之前监控探测到入侵行为后,即对系统进行了调整。现在应该已经无此漏洞了。
最新状态:
暂无