当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100574

漏洞标题:某在用新闻系统存在存储型XSS(影响上万教育and政府网站)

相关厂商:凹丫丫

漏洞作者: 独孤求败

提交时间:2015-03-11 12:09

修复时间:2015-04-30 18:48

公开时间:2015-04-30 18:48

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:13

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

....

详细说明:

某在用新闻系统存在存储型XSS(影响上万教育and政府网站)。
最新版本测试,为凹丫丫免费ASP新闻系统4.9ACC版,以前的版本均存在此XSS漏洞。
源码地址:http://down.chinaz.com/soft/22411.htm

QQ图片20150310211542.png


XSS漏洞文件地址:book_write.asp
可谷歌搜索:Powered By OYAYA.CN

QQ图片20150310211442.png


20个案例:http://www.zsmm.gov.cn/book_write.asp
http://www.gzah-translation.cn/newsb//book_write.asp
http://www.rcsrsj.com//book_write.asp
http://www.sclzzx.com/jxyj//book_write.asp
http://www.nwsni.edu.cn/ywx/book_write.asp
http://dzb.lszjy.com/book_write.asp
http://nercar.ustb.edu.cn/sr/book_write.asp
http://www.wjcqxx.com.cn/zt/zp/book_write.asp
http://tiandiqj.com/book_write.asp
http://www.whits.cn/qyb/book_write.asp
http://www.wlyjsj.gov.cn/book_write.asp
http://www.51peichang.net/book_write.asp
http://www.yonghengmu.cc/book_write.asp
http://jky.yctei.cn//book_write.asp
http://www.cnzfcj.com//book_write.asp
http://ddc.sxgy.cn//book_write.asp
http://www.sztyx.com/community//book_write.asp
http://www.jxhdj.com//book_write.asp
http://jsjx.lmu.cn/jyfwb//book_write.asp
http://www.jdtzb.gov.cn//book_write.asp

漏洞证明:

漏洞证明(源码测试)

QQ图片20150310212039.png

QQ图片20150310212056.jpg

QQ图片20150310212632.jpg

QQ图片20150310212609.jpg

修复方案:

。。。。

版权声明:转载请注明来源 独孤求败@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝