漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-055549
漏洞标题:人人网之旗下车问存储型xss #3
相关厂商:人人网
漏洞作者: 小龙
提交时间:2014-04-04 17:51
修复时间:2014-04-09 17:51
公开时间:2014-04-09 17:51
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:1
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-04: 细节已通知厂商并且等待厂商处理中
2014-04-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
我是刷mark的
车问网依托千橡集团旗下兄弟网站人人网庞大的真实用户群体,以真实用户好友关系为基础,有效增强了信息的真实性和可信度,做到了朋友的问题由朋友回答。除了朋友回答问题以外,近500名汽车专家也坐堂车问为网友回答相关专业类问题,以更真实更便捷的方式为用户提供权威准确的回答,帮助用户解决购车用车整个汽车链条的所有疑问、享受更加美好的汽车生活。
详细说明:
车问网依托千橡集团旗下兄弟网站人人网庞大的真实用户群体
详细跳转:
兄弟,哎,怪不得可以这么亲情,实不相瞒,我也是人人网的兄弟-。-
来到车问http://www.chewen.com/
修改资料处有xss
但是必须要改一次密码他才让你保存- - 蛋疼的设计
还有提问问题发不出去。。
嵌入代码:
嵌入一个页面试试
弹下cookie。。。
还有个任意上传
伤不起。。搞半天都没上传进去- -
牛逼的人人,是墙还是啥堵着我前进的道路?
漏洞证明:
车问网依托千橡集团旗下兄弟网站人人网庞大的真实用户群体
详细跳转:
兄弟,哎,怪不得可以这么亲情,实不相瞒,我也是人人网的兄弟-。-
来到车问http://www.chewen.com/
修改资料处有xss
但是必须要改一次密码他才让你保存- - 蛋疼的设计
还有提问问题发不出去。。
嵌入代码:
嵌入一个页面试试
弹下cookie。。。
还有个任意上传
伤不起。。搞半天都没上传进去- -
牛逼的人人,是墙还是啥堵着我前进的道路?
修复方案:
修复咯, 到嘴的鸭子飞了 :(
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-04-09 17:51
厂商回复:
最新状态:
暂无