漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-068674
漏洞标题:盖网商城存储型XSS一枚
相关厂商:盖网商城
漏洞作者: 番茄师傅
提交时间:2014-07-16 15:13
修复时间:2014-08-30 15:14
公开时间:2014-08-30 15:14
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
盖网商城存储型XSS一枚 可获取商家Cookie 登陆 安排发货
详细说明:
gatewang.com
个人信息 收货地址 插入 XSS
OK
![YD4V[VWS[VWPNKK`0_C])@1.jpg](https://w.hundan.org/articles/attach/201407/1600184602c4bc64ef76095f34ceb1a7e2a19c49.jpg)
我们用这个地址 下单 引诱商家上钩 当然 这里没有偷Cookie 理论可以成功
![A(~5`5KS(F]ACL17{KP[B}F.jpg](https://w.hundan.org/articles/attach/201407/160023242fad61aceb0f4b8e7abdd7dce1e40164.jpg)
![E2J@{0O~0Y]DJ7%`SHRPD8U.jpg](https://w.hundan.org/articles/attach/201407/16002340281115eded4910b6654c789a01fa091b.jpg)
![YD4V[VWS[VWPNKK`0_C])@1.jpg](https://w.hundan.org/articles/attach/201407/160023597c293bd6cc1fbabd649dccb8ac84aaca.jpg)
求点小礼物
漏洞证明:
求点小礼物
修复方案:
过滤
求点小礼物 Rank 不要钱 给就多给点吧
版权声明:转载请注明来源 番茄师傅@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝