当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019760

漏洞标题:健一网可xss盲打后台,用户订单细节泄露

相关厂商:j1.com

漏洞作者: 小菜果子

提交时间:2013-06-10 00:39

修复时间:2013-07-25 00:40

公开时间:2013-07-25 00:40

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-10: 细节已通知厂商并且等待厂商处理中
2013-06-10: 厂商已经确认,细节仅向厂商公开
2013-06-20: 细节向核心白帽子及相关领域专家公开
2013-06-30: 细节向普通白帽子公开
2013-07-10: 细节向实习白帽子公开
2013-07-25: 细节向公众公开

简要描述:

华润旗下的药店,可xss 后台

详细说明:

1.网址:http://www.j1.com/
2.搜索反射型xss
3.收件人地址存储型xss

漏洞证明:

.jpg

xss存储.jpg

xss.jpg

修复方案:

过滤!
话说 嗓子疼,得咽炎了,有礼物安慰吗?

版权声明:转载请注明来源 小菜果子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-06-10 00:49

厂商回复:

正常处理,今天刚看到,以前不知道这个网站,唉,害人呀,这半夜了还为这个问题在烦

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-10 21:33 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    还会有更烦的,嚯嚯~

  2. 2013-06-11 11:35 | 华源大药房(乌云厂商)

    @小川 本来我们技术人员就少,这下又有忙的了

  3. 2013-06-11 12:12 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @小菜果子 我3个用户信息的洞比不上你你一个xss

  4. 2013-06-13 09:02 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    哦,多谢关注啊,我是来学习的

  5. 2013-06-13 09:10 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    @小川 领取礼物了吗?怎么领取啊,我头回啊

  6. 2013-06-13 09:16 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    @小川 厂商慷慨啊!可能是我放出的早吧

  7. 2013-06-13 09:19 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @小菜果子 等着敲门,顺丰快递

  8. 2013-06-13 09:27 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    @小川 不会是查水表吧,我什么都没做啊!给你发了好多礼物啊!真慷慨

  9. 2013-06-13 09:29 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    @华源大药房 我给你私信了,真有礼物啊?私信给你联系方式

  10. 2013-06-13 09:38 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @小菜果子 页面右上角有个控制面板,里面填写你的联系方式,不会啥好礼品,应该就是些壮阳药之类的吧

  11. 2013-06-13 09:46 | 华源大药房(乌云厂商)

    要不发一箱名流

  12. 2013-06-13 09:57 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @华源大药房 - -!要命啊~

  13. 2013-06-13 10:31 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    @华源大药房 那我就给同事们分了! :)

  14. 2013-06-13 10:32 | 小菜果子 ( 路人 | Rank:11 漏洞数:7 | 学习为主,围观)

    @华源大药房 我地址更新了

  15. 2013-07-10 07:55 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    20个rank。。。。。。。

  16. 2013-07-10 10:11 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    xss 20rank..现在好少这样给力的厂商

  17. 2013-07-10 12:10 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    我还头一回看到xss给20rank,厂商太给力啦。