漏洞概要
关注数(24)
关注此漏洞
漏洞标题:4399小游戏CSRF漏洞可修改用户个人信息
提交时间:2015-07-20 15:02
修复时间:2015-09-03 16:26
公开时间:2015-09-03 16:26
漏洞类型:CSRF
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-03: 细节向公众公开
简要描述:
4399小游戏CSRF漏洞可修改用户个人信息
详细说明:
登录-个人中心
http://u.4399.com/user/info
修改我的信息-抓包
可以看到木有token之类的验证,来试下可不可以实施csrf攻击
打开测试
漏洞证明:
成功修改,其他信息也是可以修改的.如果用发信息或者发帖子之类的来诱惑用户点击,然后把用户名改成网址qq之类的来营销,挂马之类的,危害还是挺大的.csrf是苏醒的巨人嘛o(∩_∩)o
修复方案:
版权声明:转载请注明来源 黑翼、@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2015-07-20 16:25
厂商回复:
谢谢你的关注,该情况已经交由相关部门处理。
最新状态:
暂无