人人网的一个URL跳转弱点

编号107
Urlhttp://www.wooyun.org/bug.php?action=view&id=107
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题人人网的一个URL跳转弱点
漏洞类型URL跳转
厂商人人网
白帽子CnCxzSec(衰仔)
提交日期2010-07-26 13:33:00
公开日期2010-07-26 13:33:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank0
漏洞简介
人人网的一个URL跳转允许跳转到第三方网站
漏洞细节

未对url参数做跨域验证

POC

http://www.connect.renren.com/redirect.do?origin=3446&url=http://www.baidu.com/

修复方案

做相关过滤或限制

状态信息 2010-07-26: 细节已通知厂商并且等待厂商处理中
2010-07-26: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:1 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2010-07-26 13:33
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

mark

he1renyagao02014-07-02 11:33:00