引言

daydaypoc社区被爆存在新年礼盒远程掉落漏洞，在野poc已公开。

Poc详情

detail:  ID: 2024  Author: DayDay_Hacker  Name: DayDayPoc社区新年礼盒远程掉落漏洞  Description: DayDayPoc是盛邦安全烽火台实验室自主研发并运营的poc收录平台，集漏洞参考、分享与学习为一体，旨在通过凝聚全社会的安全技术力量，打造覆盖面更广、检测能力更强的一流漏洞扫描、验证平台，同时为广大漏洞研究者构建一个良好的漏洞研究生态圈。在新的一年到来之时，安全研究者发现该社区存在一个严重漏洞，导致社区官方会对给予过支持的白帽子们发放一份精美的礼盒，并会祝愿大家新的一年里漏洞多多，技术涨涨，薪酬翻倍，万事如意。  Identifier:    DVB: DVB-2024-0101  VulnClass:  - 远程礼盒掉落  Category:  - 小小心意  Manufacturer: DayDayPoc  Product: 新年礼盒  DisclosureDate: '2024-01-01'  Region: 中国大陆  Is0day: true  Condition: active_user = 1 && vuln_num>0 && Fill_in_the_shipping_address=1  Solutions:  - 若有任何疑问,请联系DayDayPoc运营君咨询。  Sources:    -活动界面链接    -https://www.ddpoc.com/poc:  relative: req0  session: false  requests:  - method: GET    timeout: 10    path: /daydaypoc/submit/vulnnum    headers:      User-Agent: Happy New Year 2024     follow_redirects: truematches: (code.eq("200") && body.lengt("0"))

参与方式

参考该漏洞的影响范围：

Condition: active_user = 1 【注册用户】&& vuln_num>0 【交过漏洞并审核通过】 &&  Fill_in_the_shipping_address=1【在个人中心更新了收件信息】

礼盒预计会在1月底发放

还没来得及交漏洞的小伙伴

还有机会参与哟