摘要: 游侠提醒:收到一条来自10010的短信,可别真以为是联通公司发给您的——因为黑客也可以做到! 来自知名漏洞披露平台乌云的消息,联通用来给客户发联通营业厅信息的页面存在安全漏洞,任何人都可以自定义信息发给联通号码,接收人看到是10010发的。一旦被恶意利...
游侠提醒:收到一条来自10010的短信,可别真以为是联通公司发给您的——因为黑客也可以做到!
来自知名漏洞披露平台乌云的消息,联通用来给客户发联通营业厅信息的页面存在安全漏洞,任何人都可以自定义信息发给联通号码,接收人看到是10010发的。一旦被恶意利用,危害很大。
漏洞详情 http://www.wooyun.org/bugs/wooyun-2010-04501
披露状态:
2012-02-14: 细节已通知厂商并且等待厂商处理中
2012-02-19: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
任何人都可以用官方10010给联通手机号发送短信,被用来短信诈骗,危害很大
详细说明:
http://info.10010.com/lt/plugin/portal/vild.do是联通用来给客户发联通营业厅信息的,任何人都可以自定义信息发给联通号码,接收的人看到是10010发的,相信程度很高,所以很危险啊
漏洞证明:
其实游侠很关注其中的一句“厂商已经主动忽略漏洞”,如此严重的漏洞,联通认为没问题?
