漏洞概要
关注数(24)
关注此漏洞
漏洞标题:当当网多处存储型XSS漏洞
提交时间:2010-08-22 01:47
修复时间:2010-08-22 11:49
公开时间:2010-08-22 11:49
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2010-08-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2010-08-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
当当网存在多处存储型XSS漏洞
详细说明:
在当当网的编辑个人档案中存在5处XSS漏洞,前4处分别出现在博客地址、兴趣爱好、喜欢或欣赏的人和自我介绍中,向其写入XSS语句 <script>alert(/1/)</script> 均可被执行,另外一处出现在昵称中,由于有长度限制,因此可通过本地构造POST表单来提交 </title><script>alert(/1/)</script> 执行js脚本,用于窃取用户cookie并仿冒用户登录。
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:7 (WooYun评价)
漏洞评价:
评论