百度url功能跳转到钓鱼网站

漏洞标题: 百度url跳转引发钓鱼
相关厂商: 百度
漏洞作者: 银河麒麟
提交时间: 2012-10-16
公开时间: 2012-11-30
漏洞类型: URL跳转
危害等级: 低
自评Rank: 9
漏洞状态: 厂商已经确认

漏洞详情

披露状态:

2012-10-16: 细节已通知厂商并且等待厂商处理中
2012-10-16: 厂商已经确认,细节仅向厂商公开
2012-10-26: 细节向核心白帽子及相关领域专家公开
2012-11-05: 细节向普通白帽子公开
2012-11-15: 细节向实习白帽子公开
2012-11-30: 细节向公众公开

简要描述:
百度url跳转引发钓鱼。

详细说明:
无意间发现的,你懂的。看证明:

漏洞证明:
原本是查看手机版网页的,但是可由于网页跳转被服务器端执行,执行恶意网站。
例如:?act=go&url=www.sekaixin.net
在QQ上显示为正常:

百度url功能跳转到钓鱼网站

网站也借此宣传:

百度url功能跳转到钓鱼网站

修复方案:
这个很简单嘛。呵呵。。