当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(2) 关注此漏洞

缺陷编号: WooYun-2012-03826

漏洞标题: 360安全卫士企业定制版//绕过认证

相关厂商: 奇虎360

漏洞作者: ubuntu

提交时间: 2012-01-17

公开时间: 2012-03-02

漏洞类型: 非授权访问/认证绕过

危害等级: 中

自评Rank: 5

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org

Tags标签: 逻辑错误 身份验证绕过

漏洞详情

披露状态:

2012-01-17: 细节已通知厂商并且等待厂商处理中
2012-01-17: 厂商已经确认,细节仅向厂商公开
2012-01-27: 细节向核心白帽子及相关领域专家公开
2012-02-06: 细节向普通白帽子公开
2012-02-16: 细节向实习白帽子公开
2012-03-02: 细节向公众公开

简要描述:

360安全卫士企业定制版存在双斜线“//”绕过认证

详细说明:


在web统计查询360安全卫士客户端的统计查询时,输入:http://10.10.1.101/admin/ 可以绕过验证,直接查询统计时,则需要验证。

漏洞证明:


在web统计查询360安全卫士客户端的统计查询时,输入:http://10.10.1.101//admin/ 可以绕过验证,直接查询统计。

修复方案:

你懂的……

版权声明:转载请注明来源 ubuntu@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-01-17

厂商回复:

去年12月份,已经对该漏洞进行了确认。可能是网站的问题。

最新状态:

2012-01-17:12月乌云发现此漏洞的当天,就已经修复了此问题。 感谢漏洞提交者。谢谢

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评论

  1. 2011-12-27 20:40 | livers ( 实习白帽子 | Rank:19 漏洞数:2 | 全能骑士不如沉默术士)
    0

    这个什么情况

    回复此人
  2. 2012-01-18 09:59 | ubuntu (核心白帽子 | Rank:75 漏洞数:5 | 一切皆有可能……)
    0

    该漏洞的确是去年12月份提交的,提交后,当时没有审核通过。O(∩_∩)O哈哈~

    回复此人
  3. 2012-04-06 18:41 | X-Secure ( 实习白帽子 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)
    0

    @ubuntu 我想知道你是怎么用3个漏洞换来75个Rank的……每个漏洞全都是20 Rank的满分,3个漏洞也是60的Rank啊……求解……乌云的bug么……

    回复此人
  4. 2012-04-06 18:54 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 你说这个城市很脏,我觉得你挺有思想)
    0

    @ubuntu @X-Secure 这哥们有个精华,是x2的

    回复此人
  5. 2012-04-06 19:16 | X-Secure ( 实习白帽子 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)
    0

    @xsser 呦嘻……原来是大牛中的极品……膜拜一下……

    回复此人

登录后才能发表评论,请先 登录

Copyright © 2010 www.wooyun.org All Rights Reserved. 沪ICP备11033592号-1