新版本优蛋(2.4.4.135)存在安全漏洞 [希望客服能够重视]
前几天点优蛋上的“摇一摇”的时候从浏览器打开了,看到地址栏闪过一串
http://passport.115.com/?ac=client_goto&c=**(估计和我账号有关所以中间去掉了)**&goto=http%3A%2F%2F115.com%2F
于是重新点开的时候手速稍微提高了点在闪出地址的时候把页面停掉了,于是截到了这个地址
当时用浏览器直接开了一下这个地址然后进网盘了,心想也许和Cookies什么的有关就没太在意
今天特别在网页上退出登录了,然后重新进这个链接,又自动登录了,并且换了一台电脑依然如此
也就是说这个链接里包含着我的登录信息,而且还是http协议的明文传输
当时没截报文但估计报文截出来的话里面是明文保存着这个链接的
如果有别有用心者截获这些报文,就能够在自己并不知道密码的他人网盘内进行除从回收站内删除文件和涉及账号安全的操作以外的所有操作了
自己是计算机专业在校生所以对这些东西过于敏感,但也希望开发方能够重视这个问题,以免造成不必要的损失
==============================================
3月10日补充:
今天修改了一下115的密码,又用那个链接尝试登录,结果依然无需密码登录成功
也就是说那个链接里根本没有用户身份验证的信息,直接就能登录
这样的话一旦被别有用心者截获这个链接,不管你怎么修改密码都不能阻止别人登录你的网盘进行操作
再次希望官方人员能够重视这个问题
1811806 回复含违规内容 只看该作者 举报
1811806
我刚刚也嗅探了一下115的网页登陆(而非优蛋),也确实嗅探到了登陆的明文账号和密码。应该要加密传送吧?
login%5Baccount%5D= 【【【【明文账号】】】】 &login%5Bpasswd%5D=【【【【明文登陆密码】】】】&back=http%3A%2F%2Fwww.115.com&goto=http%3A%2F%2F115.com