迅鲁贷某处定向XSS跨站指谁打谁 | wooyun-2015-0131253| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0131253

漏洞标题：迅鲁贷某处定向XSS跨站指谁打谁

漏洞作者：懒猫先生

提交时间：2015-08-03 12:21

修复时间：2015-09-17 12:22

公开时间：2015-09-17 12:22

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-03：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-09-17：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

短信内容可XSS ，可钓鱼，
我只是来打个招呼！混个脸熟！
你们公司姜总可好~猜猜我是谁喽。

详细说明：

依旧是拿迅鲁贷做实验。
站内短信曾有SQL注入。（现在还存在）
后台登录没限制可爆破。（姜总知道！）
XF可注入。（本人菜鸟，随手测试，应该是存在注入。）
后台XSS么，一直存在。请过滤，图一张！

漏洞证明：

$EJ_Q%@@44)Z8S%WNVN{WXEL.jpg$

的确可以证明了吧。

修复方案：

过滤喽，要想让更多的白帽关注！必须高Rank，关注这么长时间了，也得高Rank。

版权声明：转载请注明来源懒猫先生@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞