漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-057082
漏洞标题:(大数据系列)我是如何控制爱物网论坛4235037用户的帖子
相关厂商:爱物网
漏洞作者: 小龙
提交时间:2014-04-15 10:42
修复时间:2014-05-30 10:42
公开时间:2014-05-30 10:42
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
2008年 4月28日 Hers爱物网(http://www.hers.com.cn)正式上线,网站在创建初期,以构建淘宝网女装店家与淘宝网女性买家之间的交流平台为切入点,提倡分享与个人秀,引领网购潮流,迅速积累了极高的人气。
2008年 5月28日 每天独立用户约5千人,同时在线人数最高400人,用户日均发帖数约700条,浏览量约8万PV;
2008年10月28日 每天独立用户约5万人,同时在线人数最高5000人,用户日均发帖数约9500条,浏览量超过100万PV;
2009年 1月28日 同时在线人数最高8200人,用户日均发帖数超过2万条,浏览量超过200万PV;
Hers爱物网成为国内增长最快的都市女性网络消费交流社区,在网购及个人服饰搭配分享等领域位列全国第一;成为除淘宝社区以外,对淘宝女性消费品买家影响力最大的网站。
2009年 4月25日 同时在线人数突破1万人,最高10546人,用户日均发帖数超过4万条,浏览量超过500万PV;
2009年 4月28日 Hers爱物网将于4月28日隆重推出败家分享平台『爱物败家族』(http://zone.hers.com.cn),全面解决网购难题!跨出了Hers爱物网从单一社区平台转型为综合性女性时尚网站关键性的一步。
详细说明:
用户量真的很大。。。
#1:google hack :site:bbs.hers.com.cn inurl:profile 管理员
aiwu
aiwu4
ad
nick
gwyc_230
竹轩清语
MORIN
valen5211
各种泄露
valen5211 830105 valen5211@sohu.com tianya.cn
命中。。。
http://bbs.hers.com.cn/thread-59205741-1-1.html
刚把爱物网的shell弄丢了,哎 (0.01秒再次装逼成功, PS:开玩笑的。。切勿当真)
还有安卓客户端的xss别忘了修复。。
上个洞不知道会不会过,所以提示下。。
漏洞证明:
用户量真的很大。。。
#1:google hack :site:bbs.hers.com.cn inurl:profile 管理员
aiwu
aiwu4
ad
nick
gwyc_230
竹轩清语
MORIN
valen5211
各种泄露
valen5211 830105 valen5211@sohu.com tianya.cn
命中。。。
http://bbs.hers.com.cn/thread-59205741-1-1.html
刚把爱物网的shell弄丢了,哎 (0.01秒再次装逼成功, PS:开玩笑的。。切勿当真)
还有安卓客户端的xss别忘了修复。。
上个洞不知道会不会过,所以提示下。。
修复方案:
修改密码。。 加强安全意识。
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝