漏洞概要
关注数(24)
关注此漏洞
漏洞标题:威购商城管理系统任意修改数据漏洞
提交时间:2013-12-19 17:27
修复时间:2014-03-19 17:27
公开时间:2014-03-19 17:27
漏洞类型:非授权访问/权限绕过
危害等级:中
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2013-12-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-03-19: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
看到各位大牛都在找通用通用 通用 小弟也到站长之家下载一些程序本地研究一下
详细说明:
其他下载点不统计 只统计站长
首先本地测试一下
问题出现在
WebService\ShopService.ashx
代码如下
本地测试结果
结果如下
漏洞证明:
对其官方商城测试
http://www.0518vip.com
http://test.vgoshop.com
http://demo.vgoshop.com
结果如下
一处XSS
修复方案:
版权声明:转载请注明来源 Damo@乌云
漏洞回应
漏洞评价:
评论
-
2014-01-19 16:42 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2014-01-20 12:35 |
Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)