当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04658

漏洞标题:中国网健康中国频道存在持久XSS漏洞

相关厂商:中国网健康中国频道

漏洞作者: DragonEgg

提交时间:2012-02-20 01:13

修复时间:2012-02-20 01:13

公开时间:2012-02-20 01:13

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-02-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

个人空间存在XSS漏洞

详细说明:

1:注册用户:
http://health.china.com.cn/member/index_do.php?fmdo=user&dopost=regnew
2:系统设置>空间设置>空间公告,源代码模式修改


3:插入XSS语句,例如:><table background="javascript:alert(/H4ck3d 6y DragonEgg/)"></table><

漏洞证明:


http://health.china.com.cn/member/index.php?uid=DragonEgg
原来的v_5_1_GBK版本就存在,发现升级也不升到最新,现在还有

修复方案:

升到最新版本,或过滤

版权声明:转载请注明来源 DragonEgg@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-02-20 07:31 | Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)

    龙蛋 路人甲的身份 现身了

  2. 2012-02-20 08:29 | iceks ( 路人 | Rank:4 漏洞数:1 | 你是我的小呀小苹果~)

    龙蛋 路人甲的身份 现身了

  3. 2012-02-20 08:31 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)

    @Jian(64bit) 表示第一次发,都是路人甲。。= =!

  4. 2012-02-20 13:00 | Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)

    @DragonEgg 呵呵 咱认识

  5. 2012-02-20 13:59 | 左右 ( 路人 | Rank:23 漏洞数:3 | 左右 ? 左. : 右.)

    xss

  6. 2012-02-20 14:26 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)

    @Jian(64bit) 感觉你丫是色狼。。

  7. 2012-02-20 20:47 | ゼ羽人 ( 路人 | Rank:15 漏洞数:4 | Forward...)

    过来支持一下蛋神

  8. 2012-02-20 22:11 | Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)

    @DragonEgg 这个真不是 我知道你女朋友是暗Y