当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038863

漏洞标题:爱丽旗下某站存储型xss一枚(盲打进后台)

相关厂商:aili.com

漏洞作者: Hancock

提交时间:2013-10-09 18:25

修复时间:2013-11-23 18:26

公开时间:2013-11-23 18:26

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-09: 细节已通知厂商并且等待厂商处理中
2013-10-10: 厂商已经确认,细节仅向厂商公开
2013-10-20: 细节向核心白帽子及相关领域专家公开
2013-10-30: 细节向普通白帽子公开
2013-11-09: 细节向实习白帽子公开
2013-11-23: 细节向公众公开

简要描述:

爱丽旗下某站存储型xss一枚(盲打进后台)

详细说明:

爱丽国际广告(北京)有限公司是一家集互联网、广告、电子商务、餐饮业于一体的跨领域经营企业。

代表性的网络平台——美悦网、爱丽网、麒麟汽车网、康路网、533留学网、爱丽团购网、6173游戏网等深受大众之欢迎,我们在将网络广告价值传送给尊贵客户以满足其品牌推广需求的同时,进一步完成了“全网全案策划营销”市场双赢艺术价值的实现。
欢迎各位德才兼备的有志朋友,加盟我爱丽国际广告团队!

我们将伸出热情洋溢的双手,带您走进这梦幻与真实交相辉映的广告王国!
http://www.6173.com 6173游戏网
问题出在客服中心服务提交问题处:
http://www.6173.com/index.php?s=/Customercenter/index

1.jpg


问题描述没有过滤xss代码

2.jpg


3.jpg


成功进入后台

4.jpg


漏洞证明:

修复方案:

你们收假了吗?

版权声明:转载请注明来源 Hancock@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-10-10 09:47

厂商回复:

@Hancock 感谢洞主~~~~

最新状态:

暂无