当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021828

漏洞标题:麦包包投诉建议打客服PP

相关厂商:麦包包

漏洞作者: Black Angel

提交时间:2013-04-15 22:46

修复时间:2013-04-18 13:53

公开时间:2013-04-18 13:53

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-15: 细节已通知厂商并且等待厂商处理中
2013-04-16: 厂商已经确认,细节仅向厂商公开
2013-04-18: 厂商提前公开漏洞,细节向公众公开

简要描述:

麦包包投诉建议打客服PP。由于昨晚凌晨打的,当时没截图,所以现在重新截图的,但是cookie是昨晚凌晨的,能还原当时情况。ps:我是求礼物来的。

详细说明:

.jpg

打他PP。

2.jpg

来了cookie

3.jpg

插进PP。

漏洞证明:

.jpg

打他PP。

2.jpg

来了cookie

3.jpg

插进PP。

修复方案:

给礼物就告诉你。。

版权声明:转载请注明来源 Black Angel@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-04-16 10:06

厂商回复:

感谢 Black Angel,正安排修复!

最新状态:

2013-04-18:已修复!

漏洞评价:

评论

  1. 2013-04-16 10:25 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    哈哈,估计么戏诶,首先人家有内网限制的,其次,这个我之前都捎带着给提交过了。。。

  2. 2013-04-16 12:31 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @px1624 其实这个能看到客服和咨询人的聊天记录。所有聊天记录。。 我没有看到你提交的,嘿嘿,我是无聊,上通宵的时候挖着玩的..

  3. 2013-04-16 12:47 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Black Angel 聊天记录看不到的,只能看到客服的一些信息,包括名字之类的,而且还是需要解码一下,不够在客服聊天界面完全就可以看到,完全没啥用的,要说有用,就是可能存在潜在威胁。我没有专门去提交啊,我是发密码重置漏洞的时候,捎带着给把那个也说了的,所以你才以为么有人提交,哈哈。这种你试试,就知道了,内网进不去。所以你打人家pp也么用,只能看,不能摸,吼吼~

  4. 2013-04-16 12:54 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @px1624 真心能看到聊天记录- -。而且是所有咨询的聊天记录。。我记得我当时留图了的。

  5. 2013-04-16 12:55 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @Black Angel 有效咨询,无效咨询那里.等公开吧,那里面能看到聊天记录.或许也可以@一下厂商问问吧,

  6. 2013-04-16 13:05 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Black Angel 嗯,那可能不是一个位置吧。等公开,向你学习下,嘻嘻

  7. 2013-04-16 13:14 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @px1624 谦虚了大哥,我菜鸟,嘿嘿,我得多向你学习呢..

  8. 2013-04-16 13:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Black Angel 嘿嘿,我也是菜鸟,大家相互学习吧。

  9. 2013-04-18 17:57 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @px1624 嘿嘿 还真要发礼物的。专注麦包包。发迩的是什么礼物。?

  10. 2013-04-18 18:04 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Black Angel 包。我看了下你这个,你的和我的不一样,我在那个位置也插了,擦,没人中招。。。

  11. 2013-04-18 18:28 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @px1624 嘿嘿。这就叫运气。嘎嘎。。 什么包?男式女式?女式的话就送女神去。~

  12. 2013-04-18 22:08 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Black Angel 嗯,包包的价格根据漏洞的价值而定,我估计你的包包没我的贵。哈哈~

  13. 2013-04-18 22:48 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @px1624 我提交了他2个洞子。嘎嘎。。就算不能重叠也有2个包包啦。~ 重叠的话就比迩的贵啦,嘎嘎嘎。

  14. 2013-04-18 22:56 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Black Angel 你想多了。。。漏洞不只是看数量,还要看质量。要说数量的话,其实我提交了5个。。。几个xss都是私下提交的,因为我的xss实在是太多了。。。还有信息泄漏之类的,也是私下提交的。。