阿里巴巴某站心脏滴血可随机登陆用户

漏洞概要

缺陷编号:WooYun-2014-088414

漏洞标题:阿里巴巴某站心脏滴血可随机登陆用户

相关厂商:阿里巴巴

漏洞作者:杀器王子

提交时间:2014-12-24 12:34

公开时间:2015-02-07 12:36

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-12-24: 细节已通知厂商并且等待厂商处理中
2014-12-24: 厂商已经确认,细节仅向厂商公开
2015-01-03: 细节向核心白帽子及相关领域专家公开
2015-01-13: 细节向普通白帽子公开
2015-01-23: 细节向实习白帽子公开
2015-02-07: 细节向公众公开

简要描述:

阿里巴巴某站心脏滴血可随机登陆用户

详细说明:

漏洞证明:

随便选一个cookie登陆成

修复方案:

打补丁

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-12-2413:55

厂商回复:

感谢你对我们的支持与关注,该问题已有白帽子在ASRC上提交,我们正在修复。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    漏洞Rank:1,伤到了杀器王子脆弱的小心脏

  2. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    my heart is broken

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    有点扯淡了 ... 不是人民币玩家么

  4. 2010-01-01 00:00 杀器王子 白帽子 | Rank:1480 漏洞数:119)

    逗我呢 真有人提交过? 呵呵

  5. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    我不信

  6. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @杀器王子 而且别的地方是不是提交关乌云什么事

  7. 2010-01-01 00:00 netwind 白帽子 | Rank:182 漏洞数:17)

    无论是否提交,确实存在漏洞;提了你没修复漏洞依然在那里,白帽子怎么知道有没有其他地方提交呢? @杀器王子 @xsser 乌云是不是可以出台一个规章制度 对厂商的行为予以规范呢? 不能在公开渠道查询的漏洞rank照常给!

  8. 2010-01-01 00:00 深蓝 白帽子 | Rank:787 漏洞数:78)

    @猪猪侠 好挑衅啊

  • N/A