迅雷离线下载漏洞，迅雷用户网盘内容泄露 - 网-自学php网

主页 > 后端 > 网站安全 >

迅雷离线下载漏洞，迅雷用户网盘内容泄露 - 网

来源：自学PHP网时间：2015-04-17 14:11 作者：阅读:次

[导读] 迅雷会员用户丢失密码后，再改密码，原来存来存在的cookis不失效，仍可从原来存在的http://lixian.vip.xunlei.com/task.html页面登入，把这个cookis导出（IE浏览器），发送到其他人的电脑，通过...

迅雷会员用户丢失密码后，再改密码，原来存来存在的cookis不失效，仍可从原来存在的http://lixian.vip.xunlei.com/task.html页面登入，把这个cookis导出（IE浏览器），发送到其他人的电脑，通过ie浏览器导入我发送的cookis.txt文件，仍可进http://lixian.vip.xunlei.com/task.html离线下载页面，在迅雷离线下载新建离线下载任务，取回本地,很容易破解了迅雷离线下载。
从迅雷离线下载页面，可进入迅雷个人中心，迅雷网盘任意查看任意私密资料
即使迅雷会员修改密码过后，这个cookis也不会失效
漏洞证明：
用另一台电脑导入cookis

成功进入离线下载页面

原服务器下载

在离线下载页面新建任务后

点取回本地

从离线下载中心页面可进入迅雷个人中心

www.2cto.com

随便建一个离线任务，存至网盘，

点去网盘看看

这样什么隐私都没有了
重申一句即使迅雷用户修改密码过后，这个cookis也不会失效

修复方案：

建议以后迅雷加强对用户账户的管理，怎么解决你们知道吧

作者小狐仙

新浪vip邮箱留言板存储型跨站 - 网站安全 - 自学

新浪某分站使用hdwiki含注入，可获取管理密码

最新评论

加载更多~~

添加评论

更多文章推荐

Concrete CMS 5.4.1.1及更低版本跨站脚本缺陷及修复 2015-04-17
译文：XSS绕过过滤 - 网站安全 - 自学php 2015-04-17
phpcms2008企业黄页模块参数未过滤致SQL注射漏洞 2015-04-17
四个角度揭密Windows Server 2008 技术 - Windows操作系 2015-04-17
解决ADSL拨号用户开机慢的问题 - Windows操作系统 2015-04-17
网站解压上传漏洞一种新突破 - 网站安全 - 自学 2015-04-17
齐博cms整站系统(原PHP168)配置不当致任意用户登陆 2015-04-17
IIS7.0漏洞渗透周杰伦官方网及修复方案 - 网站安 2015-04-17
Win XP不能装USB 2.0驱动问题解决 - Windows操作系统 2015-04-17
网站站长如何根据经验判定网站是否受到了DDOS攻 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论