360好搜某代理商微博账号泄露可登录可篡改信息(有与周总聊天记录)

编号106584
Urlhttp://www.wooyun.org/bug.php?action=view&id=106584
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题360好搜某代理商微博账号泄露可登录可篡改信息(有与周总聊天记录)
漏洞类型内容安全
厂商奇虎360
白帽子火云邪神
提交日期2015-04-09 10:03:00
公开日期2015-04-09 13:56:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签隐私安全 360.
关注数0
收藏数0
白帽评级
白帽自评rank11
厂商评级
厂商评rank0
漏洞简介
360好搜某代理商微博账号泄露可登录可篡改信息。
漏洞细节

3s.png


31.jpg


微博可以正常登录 邮箱也可以 不过邮箱没什么东西。

32.png


吓尿了!

33.jpg

POC

31.jpg

修复方案

提高安全意识。

状态信息 2015-04-09: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复您好,搜索推广代理商并不属于360公司,其微博账号安全问题与360无关。另外该微博没有认证,粉丝也只有5个,建议白帽子直接私信提醒下对方注意修改密码。漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2015-04-09 13:56
Showing 1-11 of 11 items.
评论内容评论人点赞数评论时间

全是信息泄露,有挖洞技巧吧

我是小号602015-04-13 14:23:00

这是怎么审核通过的=。=

leakless02015-04-12 13:43:00

搜支付宝可以在群里面搜一大片出来,嗯,可以提支付宝漏洞了

有归于无02015-04-12 12:08:00

4楼亮了

90Snake02015-04-11 01:19:00

。。。

sherlock02015-04-11 01:15:00

这也行?

milan02015-04-10 11:58:00

@浩天 我有新浪沧州分站总副经理的账户和密码?可以通过?

’‘Nome02015-04-09 19:47:00

@浩天 这都可以过???你们审核干什么吃的???不行就撤吧 无语!!!

’‘Nome02015-04-09 19:45:00

看成了周总理,吓尿了~

光刃02015-04-09 11:57:00

代理商。。

ModNar02015-04-09 11:13:00

有与周总聊天记录

px162402015-04-09 10:11:00