漏洞概要
关注数(24)
关注此漏洞
漏洞标题:DiscuzX3.1/X3/X2.5/X2 存储型XSS
提交时间:2013-10-02 20:34
修复时间:2013-12-28 20:34
公开时间:2013-12-28 20:34
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-10-02: 细节已通知厂商并且等待厂商处理中
2013-10-09: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2013-12-03: 细节向核心白帽子及相关领域专家公开
2013-12-13: 细节向普通白帽子公开
2013-12-23: 细节向实习白帽子公开
2013-12-28: 细节向公众公开
简要描述:
DiscuzX3.1/3/2.5/2 存储型XSS
希望通过~
详细说明:
DiscuzX3.1/X3/X2.5/X2 这些版本都存在 “存储型XSS”
主要是这边没有过滤
抢楼那边奖励楼层没有过滤
漏洞证明:
上些图片看看~~
代码 :
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-12-28 20:34
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2013-10-02 20:37 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-10-02 20:43 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-10-02 20:45 |
admin1993 ( 普通白帽子 | Rank:110 漏洞数:39 | 0101001010010100101001010010100101001010...)
-
2013-10-02 21:53 |
天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)
-
2013-10-02 21:57 |
浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)
-
2013-10-02 21:59 |
m1x7e1 ( 普通白帽子 | Rank:543 漏洞数:132 | 求工作)
-
2013-10-02 22:02 |
何松 ( 路人 | Rank:18 漏洞数:4 | 你看)
-
2013-10-02 22:03 |
D_r0ck ( 实习白帽子 | Rank:36 漏洞数:3 | 可能是最帅的歌~)
-
2013-10-02 22:14 |
blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)
-
2013-10-02 22:21 |
sdnjyjm ( 路人 | Rank:9 漏洞数:2 )
-
2013-10-02 23:04 |
niliu 
( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-10-02 23:17 |
帅气小狼狗 ( 路人 | Rank:8 漏洞数:2 | 汪汪汪)
-
2013-10-02 23:18 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2013-10-02 23:24 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-10-03 02:28 |
′A、 ( 路人 | Rank:10 漏洞数:1 )
-
2013-10-03 05:01 |
猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)
-
2013-10-03 06:08 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
@px1624 我用最新的DiscuzX3.1呀~
-
2013-10-03 06:14 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-03 08:54 |
艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)
-
2013-10-03 09:43 |
xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)
-
2013-10-03 10:17 |
堕络 ( 路人 | Rank:20 漏洞数:2 | 一个新手菜鸟 求关爱)
-
2013-10-03 11:05 |
liyang ( 路人 | Rank:25 漏洞数:11 | 低调 沉默 守望)
-
2013-10-03 13:02 |
ziwen ( 实习白帽子 | Rank:49 漏洞数:4 | 活着为了乐还是为了苦?)
-
2013-10-03 13:15 |
whirlwind ( 实习白帽子 | Rank:34 漏洞数:8 | 极光肖风)
我靠,我刚升级了3.1 居然就报了,,不会是javascript://那个吧
-
2013-10-03 13:34 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-03 13:51 |
凌晨 ( 路人 | Rank:14 漏洞数:3 | 关注信息安全)
-
2013-10-03 13:53 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-03 13:55 |
酷帥王子 ( 普通白帽子 | Rank:111 漏洞数:34 | 天朗日清,和风送闲,可叹那俊逸如我顾影自...)
草泥马我说怎么会有N多Dz2.5中招原来是有0day了哇
-
2013-10-03 13:57 |
何松 ( 路人 | Rank:18 漏洞数:4 | 你看)
-
2013-10-03 14:00 |
何松 ( 路人 | Rank:18 漏洞数:4 | 你看)
@BadCat你赶快公开吧 不然修复差不多了 就不好玩了
-
2013-10-03 14:01 |
TellYouThat ( 路人 | Rank:6 漏洞数:3 | 不要叫我逗比,我只是个菜比)
-
2013-10-03 14:05 |
Jason.zucker ( 路人 | Rank:4 漏洞数:1 | Darkness Coming.)
-
2013-10-03 14:44 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-10-03 14:51 |
小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)
我貌似知道什么了 DZ默认开启用户空间允许HTML 代码 直接 插入XSS !
-
2013-10-03 14:55 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-03 15:42 |
Jason.zucker ( 路人 | Rank:4 漏洞数:1 | Darkness Coming.)
-
2013-10-03 16:55 |
blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)
不会是卡饭那个吧。。。那个貌似是管理员自己加的。。
-
2013-10-03 20:00 |
Meek ( 路人 | Rank:12 漏洞数:3 | 关注寡妇动态20年 ~)
-
2013-10-03 21:39 |
静默 ( 路人 | Rank:8 漏洞数:6 | 安全小白)
-
2013-10-03 22:03 |
tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)
-
2013-10-03 22:25 |
射不出来 ( 路人 | Rank:7 漏洞数:4 | 我是来混的...)
-
2013-10-03 22:34 |
浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)
@BadCat 厂商已经被我绑架了,现在不会来认领的,你把过程发我,我转告他吧。
-
2013-10-04 00:37 |
Forever80s ( 普通白帽子 | Rank:820 漏洞数:110 )
-
2013-10-04 09:52 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-10-04 13:09 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-04 13:13 |
jsbug ( 普通白帽子 | Rank:117 漏洞数:16 )
-
2013-10-04 13:15 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-04 14:04 |
小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)
@Jason.zucker 骚年 我个人资料里面就是、 条件你必须的有个平台!
-
2013-10-04 20:27 |
Jason.zucker ( 路人 | Rank:4 漏洞数:1 | Darkness Coming.)
-
2013-10-04 20:35 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-10-04 21:00 |
Jason.zucker ( 路人 | Rank:4 漏洞数:1 | Darkness Coming.)
@小坤 @Mas 把你们的QQ发到我邮箱 我加你们,loev144@gmail.com
-
2013-10-05 00:16 |
zathing ( 路人 | Rank:20 漏洞数:2 | 广告位招租)
-
2013-10-05 03:30 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
2013-10-05 07:14 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
@淡漠天空 DZ 7.2 DZX 1.0 DZX 1.5 没漏洞.漏洞是出在某一个功能
-
2013-10-05 11:04 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
2013-10-05 12:33 |
Jason.zucker ( 路人 | Rank:4 漏洞数:1 | Darkness Coming.)
@BadCat 目测是一个在X3.1/X3/X2.5/X2 自带功能而 7.2 1.0 1.5 不带的功能插件里面
-
2013-10-05 12:48 |
sdnjyjm ( 路人 | Rank:9 漏洞数:2 )
-
2013-10-05 13:27 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-05 13:27 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
@Jason.zucker 你们等公开吧..我也不知道..
-
2013-10-05 20:08 |
sdnjyjm ( 路人 | Rank:9 漏洞数:2 )
@BadCat 说实话我在等补丁= =、可惜他迟迟不确认。。
-
2013-10-06 19:25 |
TellYouThat ( 路人 | Rank:6 漏洞数:3 | 不要叫我逗比,我只是个菜比)
-
2013-10-06 19:32 |
小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)
-
2013-10-06 19:33 |
小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)
-
2013-10-08 06:23 |
银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)
-
2013-10-08 06:28 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-08 12:36 |
一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)
-
2013-10-08 15:23 |
小熊饼干 ( 实习白帽子 | Rank:41 漏洞数:6 | 酱油专业户)
-
2013-10-09 20:36 |
p.z ( 普通白帽子 | Rank:411 漏洞数:40 )
-
2013-10-09 21:06 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-10-09 21:08 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
-
2013-10-09 21:44 |
Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)
-
2013-10-09 22:13 |
李白 ( 普通白帽子 | Rank:142 漏洞数:29 )
-
2013-10-09 22:14 |
何松 ( 路人 | Rank:18 漏洞数:4 | 你看)
-
2013-10-09 22:14 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
估计是利用base64的那个,官方已经出补丁了。还有一种情况,dz的漏洞,官方直接忽略
-
2013-10-10 08:36 |
zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])
这个漏洞10.4号安全宝微信就预警了,怎么现在还忽略了!这是什么节奏
-
2013-10-28 09:05 |
低调 ( 实习白帽子 | Rank:42 漏洞数:18 | .......)
-
2013-10-28 17:58 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
@低调有些论坛就算是普通用户也可以发抢楼贴而且DZ XSS就算拿到COOKIE也不能够用。
-
2013-11-16 13:59 |
小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)
突然发现有点鸡肋的感觉 有木有 还有能获取cookie么?
-
2013-11-16 17:19 |
BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)
@小坤 是呀..很鸡助.. 能够获取cookie..但是获取了也不能够用吧..
-
2013-11-17 10:38 |
小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)
