Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2016-00299
- Vendor: 樂多日誌
- Title: 樂多日誌cookie劫持
- Introduction: 可cookie劫持
處理狀態
目前狀態
公開
Last Update : 2016/12/25
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2016/11/10 14:53:53 : 新提交 (由 catding 更新此狀態)
- 2016/11/10 14:54:04 : 新提交 (由 HITCON ZeroDay 平台自動更新)
- 2016/11/10 16:33:46 : 審核完成 (由 HITCON ZeroDay 平台自動更新)
- 2016/11/11 14:55:13 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/11/11 14:55:14 : 通報未回應 (由 HITCON ZeroDay 平台自動更新)
- 2016/11/15 23:55:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/11/15 23:55:40 : 修補中 (由 HITCON ZeroDay 平台自動更新)
- 2016/12/20 16:19:20 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/12/21 13:15:23 : 確認已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/12/25 03:00:02 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)
詳細資料
- ZDID:ZD-2016-00299
- 通報者:catding (catding)
- 風險:嚴重
- 類型:其他 (Other)
參考資料
暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://blog.roodo.com/
http://photo.roodo.com/
http://photo.roodo.com/
敘述
cookie沒有http-only
一般瀏覽和管理共用cookie
運用原本就有的部落格嵌入js功能,或是xss漏洞
即可盜用對方的權限
(第二章圖片是拿第一張得到的cookie,去餵給online http request所得之結果)
擷圖
留言討論
登入後留言