发现旺旺的一个安全漏洞,可导致admin888泄露

今日使用旺旺，对他的web互动饶有兴趣，就想模仿他，却发现它有个安全漏洞无法解决。贴出来提醒大家

同时也提醒阿里爸爸的开发团队应报着谨慎的态度设计软件

1. 点“我的淘宝”书签中的任意一项，如：我的淘宝首，旺旺会自动弹出IE浏览器，地址栏如：http://127.0.0.1:1672/B84BCF5A9DE92E43A51B2990F49C8E19/

2.这是本机地址，你现在直接点击是无效的。

3.按IE工具栏上的“停止”按钮，停止网页动作

4.选择查看源代码（在IE窗口中右键-%26gt;查看源文件 或 IE菜单栏的 查看-%26gt;源文件）

5.可以在弹出的文本文件中看到以下内容

%26lt;form name=user_login method=post action=%26quot;http://member1.taobao.com/member/login.jhtml?asker=wangwang%26quot;%26gt;
%26lt;input type=hidden name=%26quot;action%26quot; value=%26quot;Authenticator%26quot;%26gt;
%26lt;input type=hidden name=%26quot;TPL_username%26quot; value=%26quot;你的用户名%26quot;%26gt;
%26lt;input type=hidden name=%26quot;TPL_password%26quot; value=%26quot;你的密码%26quot;%26gt;
%26lt;input type=hidden name=%26quot;eventSubmit_doLogin%26quot; value=%26quot;anything%26quot;%26gt;
%26lt;input type=hidden name=%26quot;TPL_redirect_url%26quot; value=%26quot;http://my.taobao.com/mytaobao/home/my_taobao.jhtml?asker=wangwang%26quot;%26gt;
%26lt;input type=hidden name=%26quot;_lang%26quot; value=%26quot;default%26quot;%26gt;



怎么样。一览无余吧。以后给别人用开着WANGWANG的电脑。或者被木马程序利用（用程序可非常容易的截获该表单提交内容）

那就麻烦咯。