V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lenville
V2EX  ›  淘宝

淘宝认证缺陷可登录任意淘宝账号及支付宝 http://www.wooyun.org/bugs/wooyun-2014-051178

  •  
  •   lenville · 2014-02-17 15:31:28 +08:00 · 4896 次点击
    这是一个创建于 3935 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2014-02-17 17:08:46 +08:00
    UPDATE

    淘宝账户认证爆安全漏洞(无需密码可登录用户淘宝、支付宝帐号)
    http://www.wooyun.org/bugs/wooyun-2014-051171

    淘宝某分站储存性跨站可窃取他人身份
    http://www.wooyun.org/bugs/wooyun-2014-051167
    12 条回复    1970-01-01 08:00:00 +08:00
    qianlifeng
        1
    qianlifeng  
       2014-02-17 15:35:32 +08:00
    吓尿了
    thinkxen
        2
    thinkxen  
       2014-02-17 15:35:41 +08:00 via Android
    花擦
    scusjs
        3
    scusjs  
       2014-02-17 15:40:10 +08:00
    吓尿……14年第一大洞啊
    lenville
        4
    lenville  
    OP
       2014-02-17 15:48:49 +08:00
    @qianlifeng
    @thinkxen
    @scusjs

    只能等官方回应了
    ccbikai
        5
    ccbikai  
       2014-02-17 17:40:55 +08:00
    真的吓尿了
    tokki
        6
    tokki  
       2014-02-17 17:46:58 +08:00
    社工大神 期待这个漏洞公开啊
    vking
        7
    vking  
       2014-02-17 17:53:09 +08:00 via Android
    危害等级: 中
    heroicYang
        8
    heroicYang  
       2014-02-17 18:17:43 +08:00
    官方已认定,并且奖励了 5W 给报告者(@互联网的那点事)~ http://weibo.com/1682454721/Ax9gnwzJQ
    lijinma
        9
    lijinma  
       2014-02-17 18:20:39 +08:00
    @heroicYang 真够抠门的。。。白帽子真难;
    lenville
        10
    lenville  
    OP
       2014-02-17 18:48:50 +08:00
    @lijinma 感觉 5W 还好哈,可能是楼主没见过什么世面(=。=)
    Zkiller
        11
    Zkiller  
       2014-02-18 09:22:00 +08:00
    昨天用淘宝的安卓客户端充话费,竟然没有输入密码和手机验证码,当时还就纳闷了。。
    lenville
        12
    lenville  
    OP
       2014-02-18 13:45:44 +08:00
    @Zkiller 直接就支付了么?=。=
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4222 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 05:27 · PVG 13:27 · LAX 21:27 · JFK 00:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.