当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135759

漏洞标题:安卓壁纸网某处xss盲打入后台

相关厂商:androidesk.com

漏洞作者: 终于明白

提交时间:2015-08-22 21:14

修复时间:2015-10-06 21:16

公开时间:2015-10-06 21:16

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

安卓壁纸装机量还是挺大的吧,可以乱发图片了,能不能不忽略呀,新人呀

详细说明:

安卓壁纸app客户端评论处存在xss,开始以为能拿到看过的人cookie,后来发现然并卵,就没有管,深夜发现邮箱来信息=、=虽然七夕就这样鲁了过去

Screenshot_2015-08-21-00-28-49.png

Screenshot_2015-08-21-00-07-49.png

Screenshot_2015-08-21-00-08-37.png

评论处过滤了script,以及www,http等关键字,后来才想着用hTtp绕过

111111.png

11.png

22.png

漏洞证明:

33.png

333.png

4444.png

http://god.androidesk.com/image?imgid=55d4320769401b6ab3e58c87

七夕不容易呀,求yqm

修复方案:

过滤

版权声明:转载请注明来源 终于明白@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝