漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-037966
漏洞标题:同城搜搜一处存储xss盲打后台(已进后台)
相关厂商:同城搜搜
漏洞作者: 小龙
提交时间:2013-09-24 17:58
修复时间:2013-11-08 17:59
公开时间:2013-11-08 17:59
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-11-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
同城搜搜是由加拿大华裔留学生王天渝等三位网络精英在多伦多大学进行信息检索技术研发,并于2003年创建。同城搜搜致力于挖掘同一城市的多元化信息并提供精准信息垂直搜索服务以及个人交友和企业电子商务服务。
同城历程:
2000年加拿大华裔留学生王天渝等五位网络精英在多伦多大学进行技术研发。
2004率先在国家商标总局注册同城商标。
2006年同城搜搜技术团队在深圳市成立中文信息搜索技术研发中心。
2008年同城搜搜正式选择重庆作为国内首个运营中心,并搭建核心运营团队。
2009年正式开放数据,致力于同一城市信息精准搜索服务。
关于同城:
同城搜搜提供同一城市的精准信息搜索服务和同一城市的生活社区服务
(垂直搜索+SNS),深度挖掘同一城市的多元化信息
(如:商机,产品信息,招聘信息等),为商家、消费者、网民提供精准的同城信息搜索和同城社区服务。
同城品牌
同城搜搜专注于互联网精准信息搜索服务,为同一城市的消费者、商家、商机以及招聘求职信息提供公正、独立、完善的信息搜索服务;为改变互联网大而广的搜索弊端,同城搜搜潜心打造优质的本地精准信息搜索平台,整合城市资讯,让同一个城市没有难找的信息。
同城团队
同城搜搜技术团队致力于以互联网络技术为核心,不断地开发符合用户需求的新型服务,保持在市场中的领先地位。同城团队专业执着,精益求精;持续学习,自我完善,做事情充分体现以结果为导向;做正确的事,遵循但不拘泥于工作流程,化繁为简;用热情的投入获得较大的工作成就。
同城价值观
以创新理念与专业服务为基准。
以赢得客户及社会的尊敬为荣誉。
用心感动客户,为客户创造价值。
使客户完全满意是我们永恒的承诺。
同城精神
做一个有社会责任感的企业,是同城所坚持的原则。
迎接变化,勇于创新;创造变化,创造属于大家的未来。
同城关键词--最直接、最有效的网络营销推广方式
使用同城搜搜的关键词产品进行网络推广,企业用少量的投入即可给自身带来大量潜在客户,有效提升企业销售额和品牌知名度,企业的潜在客户可以通过同城搜搜在第一时间找到企业以及企业的产品。
同城招聘--为企业和个人提供一个本地最全面的招聘平台
集合所有有关本地的人才招聘信息,多行业为一体的网络在线信息发布平台,提供上万家单位的招聘信息,以及数十万中高级人才简历的储备库。招聘、求职信息一网揽尽。
同城网店--企业24小时不打烊的电子商务店铺
同城搜搜为企业、商家提供的网络店铺。用户可自主“装修”、更新、管理以及发布产品信息,以最合适的价格、最方便的网络推广方式,让企业、商家和消费者实现真正的网络互动与网上交易。
同城商机关键词--城市最全、最及时的供求商机平台
商机关键词能让企业在更快的时间内吸引住客户,是企业最快速、最有效的发布推广渠道,让拥有商机关键词的企业,迅速融入同城大市场;企业、个人均可随时发布供求商机、随时搜索商机、实时掌握商机,同城商机关键词是结合互联网和手机移动商务为一体的服务平台,能及时有效地为用户提供最直接有价值的商业资讯。
同城社区--建立同一城市最大网上互动社区
实现各类互动、交友、交流功能,让同一城市的庞大网民,有一个网络上的家。
详细说明:
有百度百科的历史,不是小厂商的节奏吧- -
http://tct.tcsos.com/
同城通 自助建站
一个建站的东西。。
姓名,邮箱,手机号码,暴漏啦。亲
漏洞证明:
有百度百科的历史,不是小厂商的节奏吧- -
http://tct.tcsos.com/
同城通 自助建站
一个建站的东西。。
姓名,邮箱,手机号码,暴漏啦。亲
修复方案:
1:过滤特殊符号
2:我是来坑礼物的
3:@xsser 你敢不敢弄个图片批量上传?
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝