当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016213

漏洞标题:魅族手机开发者社区XSS盲打

相关厂商:魅族科技

漏洞作者: 疯子

提交时间:2012-12-19 12:12

修复时间:2013-02-02 12:13

公开时间:2013-02-02 12:13

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-19: 细节已通知厂商并且等待厂商处理中
2012-12-20: 厂商已经确认,细节仅向厂商公开
2012-12-30: 细节向核心白帽子及相关领域专家公开
2013-01-09: 细节向普通白帽子公开
2013-01-19: 细节向实习白帽子公开
2013-02-02: 细节向公众公开

简要描述:

魅族手机开发者社区XSS盲打

详细说明:

魅族手机开发者社区XSS盲打,并没有完全成功。不过做为我这个煤油来说还是提交了。
在手机应用中心的时候有报告问题,然后再报告问题的地方选择其他问题,那样就可以写入你的XSS代码,然后再审核这个BUG的时候,这个恶意代码就已经执行。。。
听说是你们工程部先审核BUG然后再给开发者,那我这个恶意代码应该盗取的是你们工程部的cookie.....PS:这个是听你们一个开发者说的。

漏洞证明:

看图说话

1.jpg


点击报告问题

2.jpg


然后选择其他问题,输入你的攻击代码
这里我也无法确认那边是否被恶意攻击到,不过我盲打了一下,确实盲打到了一些信息。

3.jpg


这个应该是你们工程部的cookie 以及信息吧。

修复方案:

你们是专家,另外我刚刚发的时候都快写完了,然后乌云的打不开了,啊我又重新写了一次,然后又浏览器崩溃了,啊,我又继续写了一次,终于这次成功了,希望发布成功啊 。

版权声明:转载请注明来源 疯子@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2012-12-20 09:17

厂商回复:

谢谢反馈漏洞已经知悉,并在第一时间会予以修复,谢谢!

最新状态:

暂无