记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华
«百程旅游漏洞大礼包(xss、支付漏洞、越...
我秀中国某容器处理不当导致可遍历所有用户... »

赶集网某业务存在URL跳转漏洞已被利用做钓鱼邮件(中招者疑似多为当当员工)

2015-03-21 11:55

Link:

code 区域
http://edm.ganji.com/statistics/click?sid=1450011566011&st=20141214&data=aHR0cDovL2FxZW1haWxlLnNuZm5udXcuY29tLw==&ca_name=edm_mainsite-emailconfirm_1450011566011_2&sig=y2UsIAPWVACWyCtMCUZ%2foHgpcYM%3d

漏洞证明:

QQ截图20150203153348.png





黑进去看了下,全是当当的啊,@当当 快搞搞安全培训吧。



QQ截图20150203153427.png





再者,QQ号码为7758521的黑客请自重。

修复方案:

code 区域
data参数这里,在业务逻辑上做下判断,不做外网跳转即可。


知识来源: www.wooyun.org/bugs/wooyun-2015-095427

阅读:128429 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“赶集网某业务存在URL跳转漏洞已被利用做钓鱼邮件(中招者疑似多为当当员工)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

随机推荐

标签云

本页关键词