当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011412

漏洞标题:XSS found on Alibaba.com

相关厂商:阿里巴巴

漏洞作者: Gunther

提交时间:2012-08-27 16:07

修复时间:2012-10-11 16:08

公开时间:2012-10-11 16:08

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:2

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-27: 细节已通知厂商并且等待厂商处理中
2012-08-29: 厂商已经确认,细节仅向厂商公开
2012-09-08: 细节向核心白帽子及相关领域专家公开
2012-09-18: 细节向普通白帽子公开
2012-09-28: 细节向实习白帽子公开
2012-10-11: 细节向公众公开

简要描述:

There is a reflected XSS bug on the search function of alibaba.com

详细说明:

Severity: XSS
Confidence: Confident
Host: www.alibaba.com/
Path: /trade/search?SearchText=&IndexArea=Products&fsb=y
Issue detail:
If you enter the following XSS vector for the search function:
"><iframe/onload=alert(document.cookie)>
The post parameters will cause a XSS like the image below.


漏洞证明:

修复方案:

版权声明:转载请注明来源 Gunther@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-08-29 14:47

厂商回复:

@Gunther,thank you so much for the xss bug information~

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-27 16:21 | goderci ( 普通白帽子 | Rank:542 漏洞数:47 | http://www.yunday.org)

    you are a waiguoren ?

  2. 2012-08-27 16:24 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    有意思了,剑总影响力太大了

  3. 2012-08-27 16:28 | 小乖 ( 路人 | Rank:21 漏洞数:6 | 这个家伙很懒,什么也没留下。)

    @goderci 哈哈哈亮了..剑总微博说是外国来的白帽子,这象征着wooyun要走向国际化了么?

  4. 2012-08-27 16:32 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    阿尤热得?

  5. 2012-08-27 16:36 | 邻国宰相 ( 普通白帽子 | Rank:138 漏洞数:33 | By:越南邻国宰相)

    ...............

  6. 2012-08-27 16:39 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    火了..乌云火了

  7. 2012-08-27 16:42 | cnyouker ( 普通白帽子 | Rank:134 漏洞数:13 | root it)

    牛逼!

  8. 2012-08-27 16:42 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    you be out country people me?

  9. 2012-08-27 16:55 | 邻国宰相 ( 普通白帽子 | Rank:138 漏洞数:33 | By:越南邻国宰相)

    都国际化了,大家以后都英文提交吧...........

  10. 2012-08-27 16:56 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    目测澳大利亚的

  11. 2012-08-27 17:03 | 波波虎 ( 普通白帽子 | Rank:266 漏洞数:51 | 11111111111)

    乌云有英文版本吗

  12. 2012-08-27 17:03 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    国外的?牛逼啊

  13. 2012-08-27 17:14 | tabjtam ( 路人 | Rank:11 漏洞数:2 | 低调)

    一个英文标题引来这么多关注和评论,你们能不能直起腰来沟通啊.每天那么多注入,那么多存储XSS站没看你们这么嗨.

  14. 2012-08-27 17:45 | pentest ( 路人 | Rank:5 漏洞数:2 | pencil)

    这wooyun也没英文版啊

  15. 2012-08-27 19:16 | ufohacker ( 路人 | Rank:3 漏洞数:1 | 提高的是能力不是技术!)

    |(|55? /\/\7 455

  16. 2012-08-27 19:41 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    anyone

  17. 2012-08-27 20:20 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @Gunther, seems that many whitehats want to know where are you come from, and your research field...

  18. 2012-08-27 21:50 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    please jia wo qq....

  19. 2012-08-27 22:14 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    @pfdz you qq duo shao ?

  20. 2012-08-28 09:09 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @冷冷的夜 five three one four eight six night seve,please zhao me

  21. 2012-08-28 09:33 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    wo le ge qu ,ni men shi zai shuo ying yu me ? da jia ying yu shui ping dou bu cuo a .

  22. 2012-08-28 10:53 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    拐外人

  23. 2012-08-28 11:08 | tnt1200 ( 普通白帽子 | Rank:121 漏洞数:17 | 关注飞机安全....)

    @冷冷的夜 @pfdz @xsjswt @goderci your english all good .....

  24. 2012-08-28 13:47 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    @tnt1200 no usual thx

  25. 2012-08-29 16:46 | safefocus ( 路人 | Rank:16 漏洞数:3 | 关注技术与网络安全)

    shit,ni men are all hacker,your quan jia are all hacker