漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-042952
漏洞标题:366网上商城xss盲打(已进入后台)
相关厂商:366网上商城
漏洞作者: 超级大菜鸟
提交时间:2013-11-15 11:31
修复时间:2013-12-30 11:32
公开时间:2013-12-30 11:32
漏洞类型:用户资料大量泄漏
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
-----------------------------------
菜鸟经常看身边的人买你们的东西
-----------------------------------
就插了下 搞到了后台 = = 未做破坏
-----------------------------------
希望你们不会跟金蝶一样
详细说明:
注册了个账户 进去随便下了个单子 在详情里插了个代码
漏洞证明:
随便打开了个商品 进入结算页
在地址里面那个备注 插入代码
然后提交订单就OK了
B~B~!~B!
账户密码都一样
--------------------------------------------------------------------------
我们是白帽子我们只会测试不会尝试破坏,希望厂商能够接受我们善意的检测!
修复方案:
你们懂得,小意思。 给我送箱矿泉水好吗 - -
版权声明:转载请注明来源 超级大菜鸟@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝