漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0131253
漏洞标题:迅鲁贷某处定向XSS跨站指谁打谁
相关厂商:迅鲁贷
漏洞作者: 懒猫先生
提交时间:2015-08-03 12:21
修复时间:2015-09-17 12:22
公开时间:2015-09-17 12:22
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
短信内容可XSS ,可钓鱼,
我只是来打个招呼!混个脸熟!
你们公司姜总可好~猜猜我是谁喽。
详细说明:
依旧是拿迅鲁贷做实验。
站内短信曾有SQL注入。(现在还存在)
后台登录没限制可爆破。(姜总知道!)
XF可注入。(本人菜鸟,随手测试,应该是存在注入。)
后台XSS么,一直存在。请过滤,图一张!
漏洞证明:
![U_5C)0)ZNUODKM0Z%]52$T8.jpg](http://wimg.zone.ci/upload/201508/03120911b1a3a4a4859eea5583ffda97c3f4a525.jpg)
的确可以证明了吧。
修复方案:
过滤喽,要想让更多的白帽关注!必须高Rank,关注这么长时间了,也得高Rank。
版权声明:转载请注明来源 懒猫先生@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝