漏洞概要
关注数(24)
关注此漏洞
漏洞标题:健一网可xss盲打后台,用户订单细节泄露
提交时间:2013-06-10 00:39
修复时间:2013-07-25 00:40
公开时间:2013-07-25 00:40
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-06-10: 细节已通知厂商并且等待厂商处理中
2013-06-10: 厂商已经确认,细节仅向厂商公开
2013-06-20: 细节向核心白帽子及相关领域专家公开
2013-06-30: 细节向普通白帽子公开
2013-07-10: 细节向实习白帽子公开
2013-07-25: 细节向公众公开
简要描述:
华润旗下的药店,可xss 后台
详细说明:
1.网址:http://www.j1.com/
2.搜索反射型xss
3.收件人地址存储型xss
漏洞证明:
修复方案:
版权声明:转载请注明来源 小菜果子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-06-10 00:49
厂商回复:
正常处理,今天刚看到,以前不知道这个网站,唉,害人呀,这半夜了还为这个问题在烦
最新状态:
暂无
漏洞评价:
评论
-
2013-06-10 21:33 |
小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)
-
2013-06-11 11:35 |
华源大药房(乌云厂商)
-
2013-06-11 12:12 |
小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)
@小菜果子 我3个用户信息的洞比不上你你一个xss
-
2013-06-13 09:02 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
-
2013-06-13 09:10 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
-
2013-06-13 09:16 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
-
2013-06-13 09:19 |
小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)
-
2013-06-13 09:27 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
@小川 不会是查水表吧,我什么都没做啊!给你发了好多礼物啊!真慷慨
-
2013-06-13 09:29 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
@华源大药房 我给你私信了,真有礼物啊?私信给你联系方式
-
2013-06-13 09:38 |
小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)
@小菜果子 页面右上角有个控制面板,里面填写你的联系方式,不会啥好礼品,应该就是些壮阳药之类的吧
-
2013-06-13 09:46 |
华源大药房(乌云厂商)
-
2013-06-13 09:57 |
小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)
-
2013-06-13 10:31 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
-
2013-06-13 10:32 |
小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)
-
2013-07-10 07:55 |
winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)
-
2013-07-10 10:11 |
乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)
-
2013-07-10 12:10 |
J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)
我还头一回看到xss给20rank,厂商太给力啦。