漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0113080
漏洞标题:波奇网多处存储xss盲打已入后台
相关厂商:波奇网
漏洞作者: 路人甲
提交时间:2015-05-25 00:56
修复时间:2015-07-09 13:22
公开时间:2015-07-09 13:22
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:18
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-25: 厂商已经确认,细节仅向厂商公开
2015-06-04: 细节向核心白帽子及相关领域专家公开
2015-06-14: 细节向普通白帽子公开
2015-06-24: 细节向实习白帽子公开
2015-07-09: 细节向公众公开
简要描述:
2007年12月波奇平台上线,以宠物生活为核心,通过社区论坛、活动、博客、问问、宠物医院等版块,全方位的向各界爱宠人士提供最优质的服务;上线八个月即成为国内发展最快、用户体验度最好、最有趣的宠物网站;日均PV超过100万,UV超过6万,注册用户超过150万。
---现在超过300万注册用户了。
详细说明:
多处xss建议整体排查并修复。
看之前一个洞的越权,不知道修复没。
此次在地址处盲打后台cookie
漏洞证明:
差不多了。
来个大厂商给20rank吧~ :)
修复方案:
做好限制和过滤,以及后台session的处理等。
建议全面测试检查。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-05-25 13:21
厂商回复:
经确认系统的确有漏洞存在,目前正在修复,感谢白帽同学的建议
最新状态:
暂无