当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150391

漏洞标题:博客大巴某功能存储xss漏洞

相关厂商:博客大巴

漏洞作者: 蓝夜星宇

提交时间:2015-10-30 10:34

修复时间:2015-11-04 10:36

公开时间:2015-11-04 10:36

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

博客大巴某功能存储xss漏洞

详细说明:

在写日志时插入图片,然后在html格式下嵌入攻击代码:

http://www.blogbus.com/brigham-logs/336886977.html


1.png

漏洞证明:

攻击代码嵌入到页面中:

31}`(N15[JJ4P8`N4@ERJ{V.png


鼠标滑过图片,在控制台输出信息:

5GHT3P)}SXAJOWT_9DU~ERY.png

修复方案:

关键字过滤

版权声明:转载请注明来源 蓝夜星宇@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-04 10:36

厂商回复:

漏洞Rank:2 (WooYun评价)

最新状态:

暂无