新浪微博抽奖对发起人验证不严

漏洞概要

缺陷编号:WooYun-2012-05748

漏洞标题:新浪微博抽奖对发起人验证不严

相关厂商:新浪

漏洞作者:梧桐雨

提交时间:2012-04-02 21:00

公开时间:2012-05-17 21:01

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-02: 细节已通知厂商并且等待厂商处理中
2012-04-05: 厂商已经确认,细节仅向厂商公开
2012-04-15: 细节向核心白帽子及相关领域专家公开
2012-04-25: 细节向普通白帽子公开
2012-05-05: 细节向实习白帽子公开
2012-05-17: 细节向公众公开

简要描述:

新浪微博抽奖对发起人验证不严,比如砸金蛋、转盘摇奖,容易使得抽奖人上当受骗,造成抽奖人用户信息泄露。

详细说明:

新浪微博抽奖对发起人验证不严,比如砸金蛋、转盘摇奖,容易使得抽奖人上当受骗,造成抽奖人用户信息泄露。方面一些hacker对用户进行社工。

漏洞证明:

修复方案:

对发起人进行验证。

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-04-05 17:13

厂商回复:

非常感谢,别人已发过!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    我擦。我还打算连刷的。被你断了喔。

  2. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @zeracker 危害大,所以早点发出来让厂商注意了。

  3. 2010-01-01 00:00 El4pse 白帽子 | Rank:29 漏洞数:7)

    @梧桐雨 能做人厚道一点吗?

  4. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @梧桐雨 @El4pse 。。。。。。。。。。。。。。。。。。。。。。。。。。。。 怎么了、?

  5. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @El4pse ?

  6. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @zeracker 我不知道他

  7. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    你这个估计某些人的利益会受到影响。

  8. 2010-01-01 00:00 exploits 白帽子 | Rank:52 漏洞数:8)

    @zeracker 恕小E说句话,我想大家来白帽子,不仅仅是为了礼物吧和Rank吧,既然大家来了,我想大家也都是希望各位网友朋友能安心的上网!

  9. 2010-01-01 00:00 Jannock 白帽子 | Rank:2116 漏洞数:212)

    今晚怎么那么多人挖洞,清明都很有空么?^-^

  10. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @exploits 同理,我也不想争什么,也没必要争取那么点hack值,我只是担心这种bug影响的人越多,危害越大。

  11. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @exploits 说的好! 支持一个 @Jannock 天天在线,时间大把的三无人员,很有空。亲,你不是也没去陪妹纸么。

  12. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @Jannock 嗯..清明确实有空,寂寞的孩纸

  13. 2010-01-01 00:00 El4pse 白帽子 | Rank:29 漏洞数:7)

    @梧桐雨 我没有说你争你要发没关系。。那也等测试完了有足够的证据了你再去发。。

  14. 2010-01-01 00:00 Jannock 白帽子 | Rank:2116 漏洞数:212)

    都很寂寞,唉。。。

  15. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @El4pse 好吧,对于这个我承认我太急了。大家都是为了web安全贡献的人,互相体谅吧。

  16. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @Jannock 莫非你就是排名第一的大大。。。。

  17. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @Jannock 团购妹纸去吧。寂寞难耐的亲们。

  18. 2010-01-01 00:00 Jannock 白帽子 | Rank:2116 漏洞数:212)

    @imlonghao 是您们太低调了。。。

  19. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @Jannock 你之前发掘的小米的洞送了手机么。。

  20. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @zeracker 亲,有那个cnr什么的人QQ么,直接联系他们

  21. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    @Jannock 膜拜清明仍然奋斗在安全一线的苦逼挨踢人士

  22. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @El4pse 怎么了?

  23. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @xsser 大大,审漏洞去吧。。

  24. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @imlonghao 我放假了....

  25. 2010-01-01 00:00 Jannock 白帽子 | Rank:2116 漏洞数:212)

    真多人,不如去 zone,聊吧。。哈哈。。

  26. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @xsser — —。

  27. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @xsser 人生就是不停的奋斗。。