当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079636

漏洞标题:龙图游戏某漏洞导致后台权限泄露(可封号/可充值)

相关厂商:longtugame.com

漏洞作者: 疯子

提交时间:2014-10-16 18:37

修复时间:2014-10-21 18:38

公开时间:2014-10-21 18:38

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-16: 细节已通知厂商并且等待厂商处理中
2014-10-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

后台那么多钱?送个大礼给我,你们应该不介意吧?

详细说明:

XSS盲打
http://cn-admin.longtugame.com/c-other_support/reply?qid=10432

mask 区域 
*****bMgPFYScpNGtBuQu iwJX0cfQPqHLi2 iAgwJJjQoC2 e2MVU8GuNOg3uc5Ao RgynPrxOBlZjC4C64NQhSdOwQ5whqcDKriLiVvqVSy1xAXpj5rlhb4SbqXDdUaqCkZMCCzTyHrQAacWxReDXRkB9QG/dGHMc8mEeAIO5eh9ilR3psAPO6O/1 kJvo87hisAWzUYiq/KGHUxj5smxXQKvD8nvKExyWpLACly8jRPXAHbIrmzvFo YIsLs KJgIb07uVijwnTOYYud54BPi7qMuVKHU3DD2IriMBvaiDIqrrtnufVDUZiLe4GyMOBAR1xqn4/njo0tRI2bT9bMkjXD3E2qwDLMDXKEed*****

漏洞证明:

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


有修改过几个用户数据,你们自己还原!

6.jpg


这是最气的,一天就是几百万,让屌丝肿么办?

修复方案:

过滤!

版权声明:转载请注明来源 疯子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-10-21 18:38

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无