漏洞概要 关注数(2) 关注此漏洞
缺陷编号: WooYun-2011-01261
漏洞标题: 淘宝网一处另类钓鱼
相关厂商: 淘宝网
漏洞作者: 沙豆
提交时间: 2011-01-30
公开时间: 2011-02-10
漏洞类型: 钓鱼欺诈信息
危害等级: 中
自评Rank: 10
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org
Tags标签: 设计缺陷 逻辑错误 钓鱼
漏洞详情
披露状态:
2011-01-30: 细节已通知厂商并且等待厂商处理中
2011-02-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
这次的案例攻击者并没有利用淘宝网的跳转,而是利用了用户的信任心理并结合一点点技术手段对用户进行欺骗,使得用户跳转到第三方网站,目前已被网络钓鱼者利用.
详细说明:
链接地址:http://item.taobao.com/item.htm?id=8897422540
攻击者借着用户对淘宝的信任,采取一种新颖的方式进行钓鱼攻击。
请大家看仔细了,注意图里边的“请复制浏览:http://item.taobao.com/item.htm?id=4064934291”,乍看之下没有什么问题,但是我们看一下代码你就明白了:
http://item.taobao.com%2ejxzbh%2ecom/item.htm/item.php?id=4064934291才是他的真正网址,而其中2ejxzbh%2ecom这部分是经过编码的一级域名,解码后是jezbh.com,
全址就是http://item.taobao.com.jezbh.com/item.htm/item.php?id=4064934291。
用户复制访问后即跳转到第三方网站。
漏洞证明:
使用浏览器访问链接:http://item.taobao.com/item.htm?id=8897422540
按照店家提示复制链接并在一文本编辑器粘贴,会发现真实的链接。
修复方案:
你懂得。
版权声明:转载请注明来源 沙豆@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-02-10
厂商回复:
该问题2010年的时候已经出现并修补过,谢谢小豆的反馈。
漏洞Rank:10 (WooYun评价)
最新状态:
暂无
