京东通用存储型XSS漏洞 | wooyun-2013-039626| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-039626

漏洞标题：京东通用存储型XSS漏洞

漏洞作者： NetSeif

提交时间：2013-10-13 18:23

修复时间：2013-11-27 18:24

公开时间：2013-11-27 18:24

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-13：细节已通知厂商并且等待厂商处理中
2013-10-15：厂商已经确认，细节仅向厂商公开
2013-10-25：细节向核心白帽子及相关领域专家公开
2013-11-04：细节向普通白帽子公开
2013-11-14：细节向实习白帽子公开
2013-11-27：细节向公众公开

简要描述：

影响所有网站。

详细说明：

京东海外通用型XSS漏洞，可能能打审核xss。只是可能。
尝试了
sg.jd.com
en
csg
通用。
不知道是不是还有海外的网站，懒得去site:jd.com了。
海外

漏洞证明：

注意需要修改2次！

再来一个alert（1）。

修复方案：

1.过滤。
2.关于统一管理这些网站，有利有弊。

版权声明：转载请注明来源 NetSeif@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2013-10-15 09:29

厂商回复：

非常感谢您对京东的关注！

漏洞评价：

2013-10-13 18:52 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

沙发了？
2013-10-13 18:57 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

影响所有网站。
2013-10-13 19:42 | X防部 ( 普通白帽子 | Rank:487 漏洞数:137 )

目测忽略
2013-10-13 21:23 | DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士，温柔善良的坏蛋。)

别说是基础认证吧？= =！
2013-10-13 21:55 | NetSeif ( 实习白帽子 | Rank:45 漏洞数:13 | ‮（子帽白心核)

目测又被忽略...
2013-10-13 22:24 | 小土豆 ( 普通白帽子 | Rank:129 漏洞数:23 )

看标题吓坏了、、
2013-10-13 22:50 | NetSeif ( 实习白帽子 | Rank:45 漏洞数:13 | ‮（子帽白心核)

对不起大家,就是很普通的XSS,只是网站有好几个.
2013-10-13 22:51 | NetSeif ( 实习白帽子 | Rank:45 漏洞数:13 | ‮（子帽白心核)

已经重新编辑内容,正则审核.
2013-10-14 00:48 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

占位。。
2013-10-14 04:30 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人，在乌云学技术，去某数...)

我京东账号密码被人改了
2013-10-14 08:01 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

我也是
2013-10-14 15:16 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@小龙 @Mas 我没悲剧
2013-11-14 09:38 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

图片小人亮了！~
2013-11-18 22:23 | 过客 ( 实习白帽子 | Rank:42 漏洞数:13 )

这个 XSS 可以用 CSRF 触发，不知道现在修复没
2013-11-19 10:48 | NetSeif ( 实习白帽子 | Rank:45 漏洞数:13 | ‮（子帽白心核)

@过客啥意思？我小白。。
2013-11-29 11:21 | 末笔丶 ( 普通白帽子 | Rank:191 漏洞数:41 | 有阴影的地方必定有光.)

~

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-039626

漏洞标题：京东通用存储型XSS漏洞

相关厂商：京东商城

漏洞作者： NetSeif

提交时间：2013-10-13 18:23

修复时间：2013-11-27 18:24

公开时间：2013-11-27 18:24

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 NetSeif@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-039626

漏洞标题：京东通用存储型XSS漏洞

相关厂商：京东商城

漏洞作者： NetSeif

提交时间：2013-10-13 18:23

修复时间：2013-11-27 18:24

公开时间：2013-11-27 18:24

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-039626"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 NetSeif@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：