无缘无故365地产后台cookie跑我邮箱了！！！

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-016628

漏洞标题：无缘无故365地产后台cookie跑我邮箱了！！！

漏洞作者：疯子

提交时间：2012-12-29 12:08

修复时间：2013-02-12 12:08

公开时间：2013-02-12 12:08

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-12-29：细节已通知厂商并且等待厂商处理中
2012-12-31：厂商已经确认，细节仅向厂商公开
2013-01-10：细节向核心白帽子及相关领域专家公开
2013-01-20：细节向普通白帽子公开
2013-01-30：细节向实习白帽子公开
2013-02-12：细节向公众公开

简要描述：

无缘无故你们的cookie跑我邮箱了！！！昨天晚上手机上平台的时候看到你们的cookie跑我这来了，我没盲打你们啊，你们这也要送？是不是觉得我最近没刷rank啊，那我就先谢谢了，真心的是自己跑来的，骗人司马....

详细说明：

我也不知道怎么来的，无缘无故就来了手贱测试一下成功登陆
a

漏洞证明：

我是真不知道怎么来的，那里盲打的我也不知道你们自己找地方吧，好郁闷啊。拿shell的事好久没做了就不搞了，rank你们看着给。

bblastvisit=1355125597; guid=2029095280; bdshare_firstime=1355127289165; kslastvisit=1355130461; szlastvisit=1355186889; pgv_pvi=3916836864; UOR=travel,t,; ULV=1355379425936:1:1:1::; Hm_lvt_0cd73c2f7848c46fd59f0a09a26879be=1355212393,1355709675,1355709914,1355723067; Hm_lvt_8f0cc81e1e4f64d1c85a42706f447b72=1355125661,1355212964,1355364426,1355886421; n_mobile_client_all=1; stylesheet=css0; cqlastvisit=1356414630; accseccpath=http%3A%2F%2Fbbs.cq.house365.com%2F; tftg=1; bbusername=%D2%D7%D0%A1%D0%C7; bloguser=BggHCQIEAjkJA1ZSU1ZRAlJTUwgBCVcLBFICBQMHAgBXAQ1VDw4BCQ%3D%3D; njzd_sid=r3xkteuvtnz5hpq3; Hm_lvt_951cc35d48efc1a61a321fa481114379=1356058803,1356314558,1356340314,1356501625; njzd_lastactive=1356506634; todayfirst=false; PHPSESSID=b5fcc91152d3c1ec2f2939035df477ac; visits=61; sessionid=651173717domain=; bbuserid=1049476; bbpassword=851b382dcd980e4f9eabe237fab2f487; bbadminon=1; sessionhash=74c8c8f27c3e7d6f632b22d58dd72f84; bwlasttime=1356573124.167; lasttime=1356573124.167; lastpage=3http%253A//bbs.house365.com/threadmarquee.html; __utma=1.2022514775.1356573022.1356573022.1356573022.1; __utmb=1.37.10.1356573022; __utmc=1; __utmz=1.1356573022.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=183371253.767526327.1355125541.1356511489.1356570768.124; __utmb=183371253.61.10.1356570768; __utmc=183371253; __utmz=183371253.1356511489.123.78.utmcsr=baidu|utmccn=(organic)|utmcmd=organic|utmctr=%E5%A4%A9%E6%B6%A6%E5%9F%8E

http://bbs.house365.com/admin/index.php?loc=user.php%3Faction%3Dedit%26userid%3D118959

修复方案：

我也不知道怎么修复，无缘无故就跑来了，我一头雾水呢

版权声明：转载请注明来源疯子@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2012-12-31 00:02

厂商回复：

感谢提供漏洞，安排技术人员排查

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-016628

漏洞标题：无缘无故365地产后台cookie跑我邮箱了！！！

相关厂商：365地产家居网

漏洞作者：疯子

提交时间：2012-12-29 12:08

修复时间：2013-02-12 12:08

公开时间：2013-02-12 12:08

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源疯子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-016628

漏洞标题：无缘无故365地产后台cookie跑我邮箱了！！！

相关厂商：365地产家居网

漏洞作者： 疯子

提交时间：2012-12-29 12:08

修复时间：2013-02-12 12:08

公开时间：2013-02-12 12:08

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-016628"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 疯子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：疯子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源疯子@乌云