漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0153108
漏洞标题:小米手机自带手机APP一点资讯某处XSS盲打
相关厂商:一点资讯
漏洞作者: js2012
提交时间:2015-11-09 18:49
修复时间:2015-12-24 18:50
公开时间:2015-12-24 18:50
漏洞类型:XSS 跨站脚本攻击
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
用APP看新闻,看到有反馈界面就顺手来了一发,汗XSS平台还真过来了
详细说明:
XSS代码:
![V{$4SH{0J0GX7F]827$E%EB.png](https://w.hundan.org/articles/attach/201511/09183502c11563a59ca9658f20f97c1c7a951fc4.png)
XSS平台接收到的:
![RA[HEEP3$SU50)@3Q])~]H2.png](https://w.hundan.org/articles/attach/201511/09183654e37cf9c87b4dc540be8c1fe95440bf7e.png)
漏洞证明:
![RA[HEEP3$SU50)@3Q])~]H2.png](https://w.hundan.org/articles/attach/201511/09183715612326d142994b1d758c49909533e76d.png)
修复方案:
还是过滤把,没打到cookie不知道是什么情况,打到的地址也不能访问,难道是哦内网的东西,不过可以肯定的是漏洞一定是存在的,看着给点RANK把
版权声明:转载请注明来源 js2012@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝