漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-015135
漏洞标题:易讯XSS后台+注入
相关厂商:腾讯
漏洞作者: Viigoss
提交时间:2012-11-23 01:42
修复时间:2013-01-07 01:42
公开时间:2013-01-07 01:42
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-23: 细节已通知厂商并且等待厂商处理中
2012-11-23: 厂商已经确认,细节仅向厂商公开
2012-12-03: 细节向核心白帽子及相关领域专家公开
2012-12-13: 细节向普通白帽子公开
2012-12-23: 细节向实习白帽子公开
2013-01-07: 细节向公众公开
简要描述:
本人听说易迅买东西,早上买下午到,想感受一下速度。谁知,我买了东西,2天后,客服给我打电话,说4没货了天后送到,下单时候怎么标记有货随时可发呢?现在过了一个星期了,没人理我了,还是未发货,这就证明了一句话,女人都是骗子,客服妹子更是骗子。之后,我又在物品那咨询留言,问“为何1周了还不发货”,谁知,发一条,删一条,这让本人着实不能忍受,回答下你是能死?。你敢删我留言,我就盲打你,这次真心无法忍受。
详细说明:
1.
字段没过滤,直接XSS你。
今天你不修复,明天我就等你的session,进去挖洞。
2.登陆注入
ProxyRoleModules','ProxyPermissions','Users','UserRoles','Session','Sequences','Roles','RoleModule','RolePermission','Permissions','Organizations','Modules','Applications','Menus','Departments','ProxyRoles
你的表。
漏洞证明:
'admin','system','卜广齐','林敏','张廷兵','李杨','江巍','王培','张倩','刘祥军','唐阿平','翟潇','卜广俊','浩方','沈雍','孙军','黄大东','刘觅
不知道是群什么人。
’139189‘,'222222','stone828','00000'
懒得列密码。弱爆了
修复方案:
让客服道歉!!!!!
版权声明:转载请注明来源 Viigoss@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-11-23 12:40
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无