漏洞概要
关注数(24)
关注此漏洞
漏洞标题:迅雷商场CSRF修改收货地址
相关厂商:迅雷
提交时间:2015-06-11 15:11
修复时间:2015-07-26 15:28
公开时间:2015-07-26 15:28
漏洞类型:CSRF
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-06-11: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开
简要描述:
迅雷商场CSRF修改收货地址
详细说明:
迅雷商场CSRF修改收货地址
编辑收货地址-抓包
<img src="/upload/201506/11150322a9a553f19ca741a105f5ef077ab64de3.png" alt="1.png"
post包:
=====================
构造表单:
测试:
漏洞证明:
上面已经很清楚了!
别跟我说CSRF鸡肋-_-,迅雷这么大的厂商这用户量你懂得!如果我把洞给卖家,我看了一下迅雷商场是qq交谈来交易的.如果卖家在买家下单之前发个链接改了收货地址呢 然后买家买的东西就莫名其妙的飞了!
求审核通过(*^__^*)
毕竟CSRF是苏醒的巨人!
修复方案:
版权声明:转载请注明来源 黑翼、@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-06-11 15:27
厂商回复:
感谢反馈!
最新状态:
暂无