缺陷编号: WooYun-2012-11789

漏洞标题:某些搜索引擎超科幻搜索结果,泄露了不只一点点

相关厂商: 搜狗

漏洞作者: 路人甲

提交时间:2012-09-05

公开时间:2012-09-10

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org

Tags标签:无

披露状态:

2012-09-05:细节已通知厂商并且等待厂商处理中

2012-09-10:厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我不亲3,不亲S,不亲B,只是求这几家搜索引擎给用户交代交代这些数据是怎么抓取到的,只能说对于我自己而言,超越了科幻小说的想象能力也无法想出个结果。

360的暴太多了都看腻了吧,给你们换点新鲜的。

详细说明:

1,搜狗

取回密码功能是互联网用户很熟悉的,他的工作原理是网站生成一段只有服务器知道的url发到你的邮箱,你必须进入邮箱点击才可以得知此url,但是捏。。。

2,腾讯搜搜soso

webshell搞安全的都知道,是个只有黑客自己才知道的东西,更不会炫耀到处发帖被别人看到,但是捏(类似360搜索找到黑客php后门一样):

3,百度

支付成功的页面也应该是只有自己能看到而且还是个一次性的东西,但是捏。。。

漏洞证明:

几个引擎的差异对比

取回密码链接:

后门:

之前的关键字在另两个搜索引擎完全收不到,就直接搜webshell地址了。

支付:

修复方案:

没啥结果,结果就是各家都有所长。

摘自:http://www.wooyun.org/bugs/wooyun-2010-011789

留言评论(旧系统):

【匿名者】 @ 2012-09-14 11:10:51

核牛有空用这个搜下duckduckgo[dot]com

本站回复:

无视敏感词限制的鸭子搜索引擎:Duckduckgo.CoM,http://www.97world.com/archives/518 貌似不好玩的样子……