UC无线营销平台存在严重漏洞,影响非常大!!主要的漏洞有以下两个:
1.上传页面权限未验证+存在Fckeditor测试上传页面
2.存在ngnix解析漏洞。
首先说一句我纯粹是路过的,只是想研究UC广告营销方式,当时恰好看到了UC广告主平台(地址),涛涛电脑知识网,下载了介绍文件大概知道了UC广告的流程。但后来一不小心发现这台服务器上还存在UC无线营销平台(地址:8050/console/),这个平台控制着UC浏览器所有的内显广告。 影响面非常大。
如果被不法之徒利用将产生巨大经济损失(介绍文件里写某些广告位甚至达到了一天十万RMB的价格……)
过程:
1.上传页面,没有权限限制,直接传。
2.ngnix解析漏洞,这个已经很出名了,具体方法不写了。
3.菜刀下发现权限控制很不严格。
4.进入UC营销平台后台,当时看到页面就把我吓坏了……权限无比大,影响极其大。
!5.很重要的一点:友情检测,啥核心数据都没动,删除小马,上WOOYUN反馈问题。
最后我想说一下,好在我是友情路过,道德底线还是有的。如果被不法之徒利用UC将每天损失上十万元的RMB,影响非常非常的大。而且你想广告内容似乎是可以修改的,如果被利用放了手机木马页面什么啊影响就更大了。毕竟UC有那么大的用户基数。总之影响非常大!问题很严重!但这些漏洞都是很常见的,这种问题出现在UC这种大公司实在很不应该,希望问题尽快修复。当然,涛涛电脑知识网,挽救了这么大的经济损失如果有小礼品什么的我还是很高兴的~哈哈。先修漏洞要紧。
漏洞证明:在详细说明里已经贴图了。
修复方案:1.上传页面做权限控制或删除
2.修复ngnix解析漏洞
版权声明:转载请注明来源 CC米业
