漏洞详情

披露状态:

2014-05-16: 细节已通知厂商并且等待厂商处理中
2014-05-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

百度和360大战以后,临时决策,遗留下的钓鱼风险问题。各种假机票,假银行,无节操了

详细说明:

是不是漏洞,关键看利用的价值,这个问题一直存在,只是没人关注而已。



互联网的的人士应该都知道百度和360大战,不知道去百度,



百度晚上临时决策,修改了页面的输出和链接加密。



于是遗留下的钓鱼风险问题。

漏洞证明:

已 搜索“混世魔王”为例,输出的链接,只显示前面的21个字母的URL。



.jpg





而且要点击这个链接的时候,是



http://www.baidu.com/link?url=rBiHXtUaIk-m8bNz3fUiG6RSHNGKlwv-WZWi2iqAjUFdqmxGr2WYt9MhQaVaBVhk



于是,可以被钓鱼链接利用。



我们可以做一个,indexitems.taobao.com-action.com 的钓鱼网站



百度只输出 21个字母的URL,会给百度过滤成为 indexitems.taobao.com



而在点击链接中看不到。很容易欺骗用户点击。



接下来,还需要继续伪装,来提高成功率。少儿不宜,手法不在这里透露了。



修复方案:

要不给多给点分,就别修复了,你看过段时间假机票,假银行,各种钓鱼的来不来侵袭,

你懂的。

版权声明:转载请注明来源 混世魔王@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-16 11:02

厂商回复:

对小白用户而言,只要title一致就会做点击。所以通过显示连接无法从根本上解决这个问题。目前我们已经对网站做安全检测,并开启诚信星计划。对因搜索受损的用户进行补偿。也欢迎遇到钓鱼网站向我们反馈。感谢对百度安全的支持

最新状态:

暂无


漏洞评价: