漏洞概要
关注数(24)
关注此漏洞
漏洞标题:人人网app站全部应用页面存在xss
提交时间:2012-05-26 15:09
修复时间:2012-05-26 15:09
公开时间:2012-05-26 15:09
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:6
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2012-05-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
作为SNS社区,你们的安全体系爆弱了。
人人网app站全部应用页面存在xss,每个应用都存在,是每个页面。
急于上线未做测试,但是后期也要做检查测试的吧?
6分是不让刷分,不代表安全级别只有6级。只是不想背刷分的头衔。
详细说明:
暂时就贴这几个。更多的自己去测试了。
加上?origin='"><script>alert(document.cookie);</script><"<
漏洞证明:
修复方案:
将此站点下线,并进行安全排查。
增强管理体系,加强安全体系!
不要再让客服来解决安全问题。
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:3 (WooYun评价)