钓鱼攻击者不职业，漠视站方安全，钓鱼链接存在xss

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-019897

漏洞标题：钓鱼攻击者不职业，漠视站方安全，钓鱼链接存在xss

漏洞作者：呆子不开口

提交时间：2013-03-11 11:33

修复时间：2013-03-11 11:33

公开时间：2013-03-11 11:33

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-03-11：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-03-11：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

钓鱼攻击者在目标站点写入的钓鱼木马页存在xss漏洞，作为一个职业的钓鱼攻击，不应该给目标站带入其他类型的攻击，而且如果被利用，更容易让自己的钓鱼页暴露。做坏人也需要有职业道德，否则永远得不到杨幂的爱

详细说明：

例子如下：
http://lbs.189.cn/fuc/tk.php?i=ddd%22/%3E%3Cimg%20src=1%20onerror=alert%281%29%3E%3C
参数会被写入iframe的src中，未做html转义，可以写入xss

漏洞证明：

http://lbs.189.cn/fuc/tk.php?i=ddd%22/%3E%3Cimg%20src=1%20onerror=alert%281%29%3E%3C

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-019897

漏洞标题：钓鱼攻击者不职业，漠视站方安全，钓鱼链接存在xss

相关厂商：www.cbgsxcs.slspxc.ivefg.knvew.a2a8a.com

漏洞作者：呆子不开口

提交时间：2013-03-11 11:33

修复时间：2013-03-11 11:33

公开时间：2013-03-11 11:33

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源呆子不开口@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-019897

漏洞标题：钓鱼攻击者不职业，漠视站方安全，钓鱼链接存在xss

相关厂商：www.cbgsxcs.slspxc.ivefg.knvew.a2a8a.com

漏洞作者： 呆子不开口

提交时间：2013-03-11 11:33

修复时间：2013-03-11 11:33

公开时间：2013-03-11 11:33

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-019897"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 呆子不开口@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：呆子不开口

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源呆子不开口@乌云