当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167806

漏洞标题:微加企业号平台XSS漏洞窃取管理员COOKIE泄露1W7企业联系人信息和60W员工信息

相关厂商:51vj.cn

漏洞作者: some

提交时间:2016-01-15 18:42

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-15: 厂商已经确认,细节仅向厂商公开
2016-01-25: 细节向核心白帽子及相关领域专家公开
2016-02-04: 细节向普通白帽子公开
2016-02-14: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

微加企业号平台XSS漏洞窃取管理员COOKIE泄露1W7企业联系人信息和60W员工信息

详细说明:

上次测试修改任意账号的密码之后,注册了一个账号,没想到第二天微加客服就打电话过来了。我想这里肯定有一个管理员后台可以看到所有注册企业的信息。所以就在后台找了一下,还真找到一个XSS注入口。
1.修改自己的公司名称,并插入XSS

QQ截图20160106111317.png


2.微加的客服真的很敬业,在插入XSS之后,不到几分钟,就有三个管理员触发

QQ图片20160106141306.png


3.试了一下,三个管理员的权限都是一样的。

QQ图片20160106141437.png


4.可以查看所有注册企业的联系人信息(包括手机号,结合上一个漏洞,可以重置任意公司的密码。)

QQ截图20160106141638.png


1W7+注册企业,还挺多了。

QQ截图20160106141841.png


5.还可以看到60W+的企业员工信息(包括手机号和邮箱)

QQ截图20160106142053.png


漏洞证明:

证明过程见详细说明

修复方案:

过滤XSS

版权声明:转载请注明来源 some@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-01-15 18:55

厂商回复:

已修复

最新状态:

暂无