漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013183
漏洞标题:最佳东方茫茫多存储XSS
相关厂商:最佳东方
漏洞作者: zzR
提交时间:2012-10-10 17:37
修复时间:2012-10-10 18:52
公开时间:2012-10-10 18:52
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-10: 细节已通知厂商并且等待厂商处理中
2012-10-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
最佳东方(VeryEast.Cn)属杭州东方网升科技有限公司旗下,是中国最权威、最专业的旅游、酒店、餐饮业招聘第一品牌,也是客户量最大、访问量最多、数据最丰富的行业招聘网站。目前日访问量已经突破600万,网页收藏量已经达到980万。最佳东方曾获"中国酒店业最具公信力首选品牌"、"中国酒店最具价值合作伙伴"等荣誉,并多年蝉联"中国行业网站百强网站"。
-------------------------------------------------------------------------------茫茫多的会员就是茫茫多的数据啊,可这茫茫多的xss也扛不住啊
详细说明:
第一个,个人写简历处N多过滤不严,导致存储xss的发生,如果某招聘公司看了,啥信息就有了
中文、英文都是哪。
第二个,标准求职信过滤不严,存储xss,也是不能随便看的
第三个,外发简历过滤不严,存储xss,照样不能乱看
就不再列举了,你们自己看吧……
漏洞证明:
例外有个比较伤的地方就是,邮件和网页中,比较敏感的用户名和密码都是明文显示,如果侧漏,都玩完
个人觉得应该加密下,毕竟这么多会员数据呢
修复方案:
过滤-加密-重视
最后问一个问题:
你们和新东方有关系么?
版权声明:转载请注明来源 zzR@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-10-10 18:52
厂商回复:
最新状态:
2012-10-10: