js hijack抓妹纸优酷历史浏览记录

编号16142
Urlhttp://www.wooyun.org/bug.php?action=view&id=16142
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题js hijack抓妹纸优酷历史浏览记录
漏洞类型CSRF
厂商优酷
白帽子路人甲
提交日期2012-12-17 17:07:00
公开日期2012-12-22 17:08:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签敏感接口缺乏校验
关注数0
收藏数0
白帽评级
白帽自评rank1
厂商评级
厂商评rank0
漏洞简介
js hijack抓妹纸优酷历史浏览记录
漏洞细节

http://nc.youku.com/index_nc?r[]=cookielist&e[]=mini_panel&s=mini&cb=any
反正全部写那里了,html都拖拖的。
给泡妹纸提供的参考信息?

POC

1.jpg


妥妥的

修复方案

判断下referer

状态信息 2012-12-17: 细节已通知厂商并且等待厂商处理中
2012-12-22: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None
回应信息危害等级:无影响厂商忽略忽略时间:2012-12-22 17:08
Showing 1-2 of 2 items.
评论内容评论人点赞数评论时间

@优酷 @xsser用户的流量记录属于用户的隐私么

剑心02012-12-25 11:25:00

屌丝无敌。。。关注

majin7802012-12-17 19:31:00