当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018058

漏洞标题:adultfriendfinder(国外成人色情交友网站)XSS偷cookies

相关厂商:adultfriendfinder(国外成人色情交友)

漏洞作者: whirlwind

提交时间:2013-01-29 15:01

修复时间:2013-01-29 15:01

公开时间:2013-01-29 15:01

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:6

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-01-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

没有过滤XSS,且管理员必须访问

详细说明:

在帐号未审核时,可以提交留言,然后他会给你发送邮件,没有过滤XSS。。。然后管理的cookies就来了,没翻墙上不去似乎。。或者过滤了IP

QQ截图21.png

漏洞证明:

QQ截图20130129141841.png


最后发现管理员居然是台湾的。。似乎是代理一个更大的成人交友站

修复方案:

不建议修复。。网监快上

版权声明:转载请注明来源 whirlwind@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-01-29 15:13 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    我擦 这个碉堡了 福利啊

  2. 2013-01-29 15:18 | rootsec ( 路人 | Rank:14 漏洞数:3 | 此人已经懒得不行了。。。)

    '不建议修复 。。网监快上'

  3. 2013-01-29 15:25 | c4rp3nt3r ( 实习白帽子 | Rank:70 漏洞数:10 | 人生的意义就在于从一个圈子跳到另一个更大...)

    这不算传播xx信息吗?

  4. 2013-01-29 15:29 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个问题说明,国外的站点存在一样的安全问题

  5. 2013-01-29 15:30 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    1024

  6. 2013-01-29 15:32 | Jonasen ( 实习白帽子 | Rank:64 漏洞数:9 | have no)

    霸气了。。。

  7. 2013-01-29 16:08 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    @xsser 要不开个乌云国际版 ?

  8. 2013-01-29 16:52 | hqdvista ( 普通白帽子 | Rank:154 漏洞数:31 | N/A)

    @xsser 其实可以先把wooyun的漏洞出个英文翻译版,这样就可以在paper里引用了

  9. 2013-01-29 19:01 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @hqdvista 英语没过4级

  10. 2013-01-29 20:26 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @xsser 3级也可以。chingish

  11. 2013-01-29 20:45 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)

    @O.o 为啥不弄个自动google 翻译插件?

  12. 2013-01-29 21:13 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    https

  13. 2013-01-29 22:31 | Kaier ( 路人 | Rank:11 漏洞数:1 )

    1024

  14. 2013-01-29 22:47 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    @qiaoy @Kaier 1024啥意思?

  15. 2013-01-29 23:01 | liyang ( 路人 | Rank:25 漏洞数:11 | 低调 沉默 守望)

    你上那网站找到朋友了么~~嘿嘿~

  16. 2013-01-29 23:02 | Kaier ( 路人 | Rank:11 漏洞数:1 )

    @陈再胜 亲,这是某个论坛标志性恢复- -

  17. 2013-01-29 23:02 | Kaier ( 路人 | Rank:11 漏洞数:1 )

    回复

  18. 2013-01-29 23:18 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @陈再胜 百度NHB最新版,下载部署并地址栏输入1024

  19. 2013-01-30 10:54 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    cookis 前面的是不是明文密码账号,有没有试过?

  20. 2013-01-30 21:08 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:8 | 极光肖风)

    @king 没想到啊。。不过似乎后台有IP白名单。。。进不去。我翻墙,我找台湾朋友都打不开。。。XD,发上来大家一起搞搞,球VIP,哈哈

  21. 2013-01-30 21:14 | whirlwind ( 实习白帽子 | Rank:34 漏洞数:8 | 极光肖风)

    @O.o 惊喜是啥啊,我没winphone手机。。。

  22. 2013-01-30 22:03 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @whirlwind 嘿嘿。各种新鲜可口的传送门