引言
daydaypoc社区被爆存在新年礼盒远程掉落漏洞,在野poc已公开。
Poc详情
detail:
ID: 2024
Author: DayDay_Hacker
Name: DayDayPoc社区新年礼盒远程掉落漏洞
Description: DayDayPoc是盛邦安全烽火台实验室自主研发并运营的poc收录平台,集漏洞参考、分享与学习为一体,旨在通过凝聚全社会的安全技术力量,打造覆盖面更广、检测能力更强的一流漏洞扫描、验证平台,同时为广大漏洞研究者构建一个良好的漏洞研究生态圈。在新的一年到来之时,安全研究者发现该社区存在一个严重漏洞,导致社区官方会对给予过支持的白帽子们发放一份精美的礼盒,并会祝愿大家新的一年里漏洞多多,技术涨涨,薪酬翻倍,万事如意。
Identifier:
DVB: DVB-2024-0101
VulnClass:
- 远程礼盒掉落
Category:
- 小小心意
Manufacturer: DayDayPoc
Product: 新年礼盒
DisclosureDate: '2024-01-01'
Region: 中国大陆
Is0day: true
Condition: active_user = 1 && vuln_num>0 && Fill_in_the_shipping_address=1
Solutions:
- 若有任何疑问,请联系DayDayPoc运营君咨询。
Sources:
-活动界面链接
-https://www.ddpoc.com/
poc:
relative: req0
session: false
requests:
- method: GET
timeout: 10
path: /daydaypoc/submit/vulnnum
headers:
User-Agent: Happy New Year 2024
follow_redirects: true
matches: (code.eq("200") && body.lengt("0"))
参与方式
参考该漏洞的影响范围:
Condition: active_user = 1 【注册用户】&& vuln_num>0 【交过漏洞并审核通过】 && Fill_in_the_shipping_address=1【在个人中心更新了收件信息】
礼盒预计会在1月底发放
还没来得及交漏洞的小伙伴
还有机会参与哟
礼品参考
精致关公摆件 1个
定制扑克牌 2副
笔记本 1个
定制u盘 1个