当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167388

漏洞标题:中国企业在线存在XSS跨站,涉及273098条个人敏感信息。

相关厂商:71ab.com

漏洞作者: Fu地魔

提交时间:2016-01-05 10:09

修复时间:2016-01-10 10:10

公开时间:2016-01-10 10:10

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-05: 细节已通知厂商并且等待厂商处理中
2016-01-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在网站提交留言或投诉的地方处存在xss跨站,至于在哪里我也忘了半个月的事情了,还得辛苦一下你们找找。

详细说明:

在网站提交留言或投诉的地方处存在xss跨站,至于在哪里我也忘了半个月的事情了,还得辛苦一下你们找找。

漏洞证明:

9Y4GRSLPI6]0Q])EH6%6`ZE.png


417SLM17WJ}_Z37ZW`FJ(OB.png


后台地址:http://www.71ab.com/abcd/Work.aspx?ModuleCode=CompanyOnLine&Left=LeftMenu.aspx&Page=NewCompany_admin.aspx
cookie:CNZZDATA1850583=cnzz_eid%3D1326219120-1451528628-http%253A%252F%252F71ab.com%252F%26ntime%3D1451528628; AJSTAT_ok_times=1; _ga=GA1.2.35667930.1449653363; DotNet=UserName=Admin&Password=5F03BE25CA23D63E4570883F49A33769EFF97577D7F1D30167B8A96E8034E3183D66CF88CB8276F0&Code=Admin&CompanyCode=&CompanyId=100000018&CompanyName=%e6%9d%ad%e5%b7%9e%e6%80%bb%e5%85%ac%e5%8f%b8&CurrentLanguage=zh-CN&DepartmentCode=&DepartmentId=&DepartmentName=&Id=10000898&IPAddress=14.150.213.30&IsAdministrator=True&OpenId=3d4b36f3-6c5c-4ca9-9245-bc700948f4aa&RealName=SystemAdmin&RoleId=10000000&RoleName=%e8%b6%85%e7%ba%a7%e7%ae%a1%e7%90%86%e5%91%98&SecurityLevel=10&ServicePassword=JiRiGaLa&ServiceUserName=JiRiGaLa&StaffId=&TargetUserId=&Themes=&WorkgroupCode

修复方案:

版权声明:转载请注明来源 Fu地魔@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-01-10 10:10

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无