当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130949

漏洞标题:橡果站点可撞裤

相关厂商:xiangguo.com

漏洞作者: 昊昊

提交时间:2015-08-03 16:55

修复时间:2015-08-08 16:56

公开时间:2015-08-08 16:56

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-03: 细节已通知厂商并且等待厂商处理中
2015-08-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

~

详细说明:

主站
http://www.xiangguo.com/login
跟http://union.chinadrtv.com/login
没任何限制

6.jpg

5.jpg


状态246可登陆
跑了10万,出来83个
liaoning 123456 246
libeiyang 123456 246
libiao 123456 246
lichengfu 123456 246
lichou 123456 246
liciming 123456 246
lidaixu 123456 246
lihaidong 123456 246
lihailin 123456 246
lihaojun 123456 246
lihaozhou 123456 246
lihonggang 123456 246
lihongxian 123456 246
lihuan 123456 246
lihuan 123456 246
lihuiliang 123456 246
lijian 123456 246
lijianan 123456 246
lijian 123456 246
lijianan 123456 246
lijianwei 123456 246
lijieyu 123456 246
lijingxuan 123456 246
lijingya 123456 246
lijingying 123456 246
likaiyun 123456 246
likaiyue 123456 246
liman 123456 246
limingtian 123456 246
liqiangli 123456 246
liqiuju 123456 246
lirunjian 123456 246
lishangnan 123456 246
lishengbin 123456 246
lisimeng 123456 246
liwenkang 123456 246
lixike 123456 246
lixiaobo 123456 246
lixiaoshu 123456 246
liyantao 123456 246
liyiyao 123456 246
liyingzi 123456 246
liyonglin 123456 246
liyouding 123456 246
liyushan 123456 246
liyuxiang 123456 246
lizhiman 123456 246
lizhimin 123456 246
wangan 123456 246
wanghaibo 123456 246
wanghaixia 123456 246
wangliyun 123456 246
wangnianxu 123456 246
wangqianyi 123456 246
wangshikai 123456 246
wangtaoai 123456 246
wangxuefu 123456 246
wangyuzhi 123456 246
wangzhen 123456 246
zhanggenfu 123456 246
zhanggong 123456 246
zhanghan 123456 246
zhanghenan 123456 246
zhanglubin 123456 246
zhangmeizi 123456 246
zhangwei 123456 246
zhangyuhui 123456 246
zhangzhang 123456 246
liubaojin 123456 246
liuchongai 123456 246
liudehu 123456 246
liugeke 123456 246
liuhaiyuan 123456 246
liuhanfeng 123456 246
liuhuanfa 123456 246
liujiajia 123456 246
liujun 123456 246
liujunmeng 123456 246
liulihui 123456 246
liulubin 123456 246
liuminghu 123456 246
liuqiumei 123456 246

漏洞证明:

还有一个潜在XSS的 可以构造。
收货地址处
写成"><IMG src=1 ><input type="hidden

3.jpg


4.jpg

修复方案:

带个验证码吧,也不亏

版权声明:转载请注明来源 昊昊@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-08 16:56

厂商回复:

最新状态:

暂无