当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(6) 关注此漏洞

缺陷编号: WooYun-2011-02184

漏洞标题: 腾讯搜吧泄漏发帖人IP漏洞

相关厂商: 腾讯

漏洞作者: 路人甲

提交时间: 2011-05-27

公开时间: 2011-06-26

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 9

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org

Tags标签: 用户敏感信息泄漏 应用程序设计不当 安全限制绕过

漏洞详情

披露状态:

2011-05-27: 细节已通知厂商并且等待厂商处理中
2011-05-30: 厂商已经确认,细节仅向厂商公开
2011-06-09: 细节向核心白帽子及相关领域专家公开
2011-06-19: 细节向普通白帽子公开
2011-06-29: 细节向实习白帽子公开
2011-07-14: 细节向公众公开

简要描述:

在这样一个和谐的社会,发帖ip是一个极为机密的东西,可以避免被跨省的东西,可是腾讯搜吧居然直接泄漏发帖人ip,让人情何以堪!

详细说明:

漏洞证明:

<span id='nick' class='dp_none'>一坨明媚的粑粑...</span>
						<span id='uin'  class='dp_none'>281795050</span>
						<span id='fid'  class='dp_none'>1</span>
						<span id='ip'   class='dp_none'>218.91.212.205</span>
					</div>

这样就能隐藏机密数据了么?在浏览器里是看不到了,源码里呢?

修复方案:

为广大网民负责

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2011-05-30

厂商回复:

感谢阁下,赞!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评论

  1. 2011-05-30 08:51 | webshell ( 普通白帽子 | Rank:58 漏洞数:17 | This person not Found.)
    0

    国家跨省追捕 帖子隐藏IP也有后台查看 我等草民 给你个IP你能定位到门到户 ?

    回复此人
  2. 2011-05-30 09:26 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 你说这个城市很脏,我觉得你挺有思想)
    0

    到不了门户可以到省到区

    回复此人
  3. 2011-06-26 18:55 | yingzi ( 普通白帽子 | Rank:38 漏洞数:3 )
    0

    可以确定是地球人.. 哈哈

    回复此人
  4. 2011-06-27 11:13 | sw0rder ( 实习白帽子 | Rank:11 漏洞数:5 | /*菜菜*/)
    0

    挂两个代理加一个VPN看它怎么定

    回复此人
  5. 2011-06-28 10:00 | PiaCa (核心白帽子 | Rank:85 漏洞数:7 | 啪啪啪啪啪啪啪啪啪啪啪啪………………嚓~~)
    0

    个人感觉不算个啥事,如果是真实的IP,后台肯定有记录可查,隐藏不隐藏都无用,如果如同LS所说,隐藏不隐藏同样没有什么用。

    回复此人
  6. 2011-06-28 10:48 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 你说这个城市很脏,我觉得你挺有思想)
    0

    对后台开放和对所有人开放这个不一样的

    回复此人

登录后才能发表评论,请先 登录

Copyright © 2010 www.wooyun.org All Rights Reserved. 沪ICP备11033592号-1