xss盲打天使湾投资后台 | wooyun-2012-011103| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-011103

漏洞标题：xss盲打天使湾投资后台

漏洞作者：胯下有杀气

提交时间：2012-08-20 12:09

修复时间：2012-10-04 12:10

公开时间：2012-10-04 12:10

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-08-20：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-10-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

天使湾是干嘛的来这里看好了，http://www.tisiwi.com/blog/?page_id=216
这样一个充满激情的站点被“激情”了。

详细说明：

注册一个帐号，然后新建项目

然后等。。。

漏洞证明：

pia。。。

修复方案：

xss嘛

版权声明：转载请注明来源胯下有杀气@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：10 (WooYun评价)

漏洞评价：

2012-08-20 14:05 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

感觉到杀气了~~
2012-08-20 15:29 | f1eecy ( 路人 | Rank:21 漏洞数:4 | 图书管理员~)

@胯下有杀气最近还会有虎嗅和雪球吧?
2012-08-20 15:29 | Tea ( 普通白帽子 | Rank:297 漏洞数:37 | Can't We Be Young.)

杀气腾腾...
2012-08-20 17:22 | gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

可以给乌云投资下～～
2012-08-20 18:42 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@gainover 感动
2012-08-20 19:00 | 胯下有杀气 ( 普通白帽子 | Rank:241 漏洞数:14 | 大姐，你黄瓜掉了。。。)

@f1eecy 呵呵，木有的
2012-08-21 17:45 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

亲，你在群里吗，请教下，xss盲打的意思
2012-08-21 20:16 | gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@Vty xss盲打，就是指在不知道输出内容（比如：对方后台管理页面）代码逻辑的情况下，对代码进行一定的猜测并构造相应的XSS代码。如果猜中了，管理员就会被XSS，从而可以获取到页面路径，cookies信息等。
2012-08-21 20:25 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@gainover 我顶了下
2012-08-22 09:39 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

@gainover 牛掰，这样也行，学习了，谢谢
2012-08-22 16:42 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

胯下有骚气
2012-09-27 23:53 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

最喜欢盲打了~ 所有的盲打都会关注
2012-10-04 13:02 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

@gainover 求一个详细的盲打xss教程
2012-10-08 14:09 | sese ( 路人 | 还没有发布任何漏洞 | 撸啊撸)

@z7y @gainover 同求
2012-10-17 11:46 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大（腾讯微博Passer...)

@gainover 求一个盲打xss教程
2012-11-20 22:19 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

应该是对名词定义有区别，其实本质上是守株待兔拿sessionid. 别的就不多说了。
2014-02-25 12:39 | 小权 ( 路人 | Rank:4 漏洞数:3 | 小菜鸟，求各位大姐大哥多多指教)

求一个盲打xss教程

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-011103

漏洞标题：xss盲打天使湾投资后台

相关厂商：天使湾创投

漏洞作者：胯下有杀气

提交时间：2012-08-20 12:09

修复时间：2012-10-04 12:10

公开时间：2012-10-04 12:10

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源胯下有杀气@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-011103

漏洞标题：xss盲打天使湾投资后台

相关厂商：天使湾创投

漏洞作者： 胯下有杀气

提交时间：2012-08-20 12:09

修复时间：2012-10-04 12:10

公开时间：2012-10-04 12:10

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-011103"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 胯下有杀气@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：胯下有杀气

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源胯下有杀气@乌云