当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-029130

漏洞标题:某婚恋交友网xss可偷Cookie拿妹子信息可钓鱼

相关厂商:绝对100婚恋交友网

漏洞作者: 一只猿

提交时间:2013-07-17 12:00

修复时间:2013-08-31 12:01

公开时间:2013-08-31 12:01

漏洞类型:XSS跨站脚本攻击

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某婚恋交友网存在xss,可在给妹子发私信的时候xss,未过滤特殊字符,可偷cookie,可钓鱼

详细说明:

绝对100婚恋交友网个人中心给别人发私信时可直接嵌入恶意代码,系统未作任何过滤,导致查看私信时可触发恶意代码执行,cookie泄露甚至导致被钓鱼。

漏洞证明:

直接上图,刚注册完,系统默认给我推荐了个妹子,发个私信呗:

QQ截图20130717011534.png

额,发送成功

QQ截图20130717011551.png

过去看下刚才发的私信,果不其然:

QQ截图20130717011609.png

不知道妹子会不会被这个标题给吸引,呵呵,点击试试

QQ截图20130717011619.png

这个,个人觉得,,完全可以拿来钓鱼,,
还有,这个站貌似存在很大一批xss

QQ截图20130717013837.png


修复方案:

xss过滤

版权声明:转载请注明来源 一只猿@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论