1.废弃项目敏感信息泄露; 2.米聊 推广 XSS; 3.小米推广Nginx解析问题; 4.多处设计缺陷导致账户可被暴力 破解 ; 详细说明: 我先表示下在未经小米科技同意就进行了相关的测试. 1.res.api.miui.com敏感信息泄露,估计为废弃项目 http://res.api.miui.com/index.php 使用YII框架,暴露的网站的绝对路径 2.tg.miliao.com一处XSS http://tg.miliao.com/index.php ?action=member-achieve &mainmenuid=200 www.2cto.com &submenuid=201 &act=provinceProvince &bind_type=0 &begin_date=2012-02-01 &end_date=2012-03-01"><img src=http://www.xiaomi.com onerror=alert(/xss/) /> 3.munion.xiaomi.com所使用的Nginx存在解析问题 http://munion.xiaomi.com/static/images/android.gif/x.php 虽然没有找到上传点,但是也算是个不小的风险. 另外这个URL,你们看下是否需要通知下用户 http://b.lanteanstudio.com/phpfolder/src/in/report/logview/logview.php?filename=4477270_20111109_20111110140150. html &path=miliao 4.多处未做业务请求限制,导致账户可被暴力破解(未验证) a.http://m.miliao.com/account/del 这里如果对方没绑定Email,就被注销了! b.http://m.miliao.com/active/telrate/login c.http://m.miliao.com/activity/mcdonalds d.http://munion.xiaomi.com/ 这里也是支持暴力破解的 e.http://passport.xiaomi.com/user/chgpass/username/{target} 这里可使用暴力破解方式并重置对方密码 修复方案: 1.停止废弃项目 2.针对XSS,用户输入校验,实体化输出. 3.升级您的Nginx或者打上补丁 4.提高安全意识即使是活动站 5.你们比我专业,以上几点仅供参考 作者 Vi0lent
查看更多关于小米手机网站多处安全隐患机修方案 - 网站安全的详细内容...