红孩子网站漏洞一包裹 | wooyun-2012-012656| WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-012656

漏洞标题：红孩子网站漏洞一包裹

相关厂商：北京红孩子互联科技有限公司

漏洞作者： qiaoy

提交时间：2012-09-26 10:54

修复时间：2012-11-10 10:55

公开时间：2012-11-10 10:55

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-09-26：细节已通知厂商并且等待厂商处理中
2012-09-26：厂商已经确认，细节仅向厂商公开
2012-10-06：细节向核心白帽子及相关领域专家公开
2012-10-16：细节向普通白帽子公开
2012-10-26：细节向实习白帽子公开
2012-11-10：细节向公众公开

简要描述：

反射型XSS、存储型XSS、目录遍历、绝对路径泄漏、后台敏感文件泄漏、支付漏洞....

详细说明：

反射型XSS：

存储型XSS：

目录遍历：

绝对路径泄漏：

后台敏感文件泄漏：

支付漏洞：

漏洞证明：

见楼上

修复方案：

亲，做次安全服务吧......

版权声明：转载请注明来源 qiaoy@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2012-09-26 14:34

厂商回复：

感谢反馈，正在跟进处理

最新状态：

暂无

漏洞评价：

评论

2012-09-24 15:34 | yy520 ( 普通白帽子 | Rank:139 漏洞数:12 )

我不小心看错成红孩儿......
2012-09-24 15:42 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

@yy520 囧，你别说，厂商我也选错了，求改@xsser
2012-09-24 16:44 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

@xsser 改错了，是红孩子，还是好孩子.....囧
2012-09-24 17:07 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@qiaoy ...改了
2012-09-25 14:49 | 好孩子育儿网(乌云厂商)

我表示很囧。还联系了对方客服认领，可惜没人联系我。
2012-09-25 15:13 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@好孩子育儿网你是好人，一生平安
2012-09-25 18:23 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

“【现场直播：苏宁确定6600万美元收购红孩子】苏宁刚刚宣布，确定以6600万美元的对价收购红孩子公司的品牌、资产和业务。这是苏宁在电商领域的首次并购。苏宁副董事长孙为民表示，并购后，采销仍将由红孩子运营；物流仓储则将纳入苏宁体系。”来源：http://weibo.com/2865041642/yDvMliDz8 这个.....洞主和这事这么凑巧的？
2012-09-25 18:45 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

@horseluke 我是看这里有篇文章，乱点进去的：http://news.pedaily.cn/zt/20120921335499.shtml
2012-09-26 09:36 | 瘦蛟舞 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

洞主厂商刚被收购了额=-=~