漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0145055
漏洞标题:动漫之家某处定向存储XSS漏洞
相关厂商:动漫之家
漏洞作者: creep
提交时间:2015-10-08 17:11
修复时间:2015-11-22 17:12
公开时间:2015-11-22 17:12
漏洞类型:XSS 跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
动漫之家网站创建于2005年,是国内最早、最大、最专业的动漫综合类平台,历经十年发展,在国内动漫平台中一直处于领先地位。动漫之家网站拥有国内最多的漫画内容,网站分为原创漫画、动漫情报、动画频道、漫画频道、轻小说、动漫之家论坛六大板块。其中,原创漫画频道为动漫之家主推的产品渠道。
动漫之家更加关注用户的喜好,致力于发掘精品原创漫画,强调漫画的故事性和画面感,使得动漫之家的用户群体更加贴近于动漫爱好者的主流人群。
动漫之家专注于原创动漫业务,利用互联网平台的优势,不断地提升原创动漫的发展空间,敢于做动漫行业“第一个吃螃蟹的人”。
动漫之家编年史
2005年1月 论坛建立
2006年5月 动漫之家漫画频道上线
2009年9月 动漫之家漫画频道改版
2009年12月 动漫之家动画频道上线
2010年5月 动漫之家轻小说频道上线
2014年12月 动漫之家APP上线
2014年12月 动漫之家新版网站上线
详细说明:
先注册两个账号 wooyun yunwoo 密码均是123456
登录wooyun这个账户 xss输入点在“个人中心”的“消息中心”里面的短信功能 经测试,标题和内容两个表单均可触发xss
再登录yunwoo
成功触发xss
漏洞证明:
先注册两个账号 wooyun yunwoo 密码均是123456
登录wooyun这个账户 xss输入点在“个人中心”的“消息中心”里面的短信功能 经测试,标题和内容两个表单均可触发xss
再登录yunwoo
成功触发xss
修复方案:
版权声明:转载请注明来源 creep@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝