xss盲打优米网后台 | wooyun-2013-022754| WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022754

漏洞标题：xss盲打优米网后台

相关厂商：优米网

漏洞作者： Rookie

提交时间：2013-04-29 17:38

修复时间：2013-06-13 17:39

公开时间：2013-06-13 17:39

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-04-29：细节已通知厂商并且等待厂商处理中
2013-05-02：厂商已经确认，细节仅向厂商公开
2013-05-12：细节向核心白帽子及相关领域专家公开
2013-05-22：细节向普通白帽子公开
2013-06-01：细节向实习白帽子公开
2013-06-13：细节向公众公开

简要描述：

不一定非要进后台

详细说明：

后台内网才能访问.外网的屌丝们不一定非要进后台前台也是可以搞得..

漏洞证明：

修复方案：

版权声明：转载请注明来源 Rookie@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-05-02 18:38

厂商回复：

非常感谢 Rookie 的反馈，漏洞已经修复！另外能否提供下您的联系方式

最新状态：

暂无

漏洞评价：

评论

2013-04-29 19:43 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

不是不一定要进后台，而是登录不了吧，优米网的后台限制访问的。打过了，也和他们的技术人员联系了
2013-04-29 20:36 | jdnehc ( 实习白帽子 | Rank:76 漏洞数:12 )

xss 报给他们了也没过滤好，还发现他们一个泄露用户邮箱，想了想不报了
2013-04-29 20:48 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

我会等公开看看，洞主有啥特别的地方，如果只是抓到cookie，看到了泄漏的电话和邮箱，应该是不会通过的。
2013-04-29 22:53 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

@px1624 亲你应该懂的..后三路不行咱就.......... @梧桐雨后台有访问现在只允许内外访问. 咱们肯定进不去了..
2013-04-29 22:55 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

@Rookie :)下次挖个拿shell的提交，现在时机不够成熟
2013-04-29 22:58 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

优米网基本不修复漏洞的..
2013-04-29 22:59 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

@Rookie 有修啊，我提交的几个都修了，态度还是很赞的。
2013-04-29 23:01 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

@梧桐雨哦我知道他们几个月前就知道网站有xss 能盲打到现在都没修复我还以为他们基本不修复的
2013-04-29 23:04 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

@Rookie 我发现盲打之后，无法登录就不提交了。(*^__^*) 你这个应该有亮点吧
2013-04-29 23:06 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@Rookie ..擦这个真不懂、、、
2013-04-29 23:10 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

@梧桐雨没亮点就是你们忽略的那些东西..
2013-06-13 18:23 | erevus ( 普通白帽子 | Rank:177 漏洞数:30 | Hacked by @ringzero 我錯了)

@梧桐雨据说他们的技术员是个很厉害的妹纸