当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046465

漏洞标题:句酷批改网存在存储型XSS

相关厂商:pigai.org

漏洞作者: 有点小鸡冻

提交时间:2013-12-19 17:17

修复时间:2014-02-02 17:17

公开时间:2014-02-02 17:17

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-19: 细节已通知厂商并且等待厂商处理中
2013-12-19: 厂商已经确认,细节仅向厂商公开
2013-12-29: 细节向核心白帽子及相关领域专家公开
2014-01-08: 细节向普通白帽子公开
2014-01-18: 细节向实习白帽子公开
2014-02-02: 细节向公众公开

简要描述:

大一被英语老师弄得比较蛋疼,礼物有木有~求送礼物

详细说明:

QQ截图20131219133821.png

QQ截图20131219133713.png

在布置作文上插入
<script>alert('XSS')</script>
然后随便输入几个字母。提交后,然后点击修改。会成功插入XSS 。
入库】
可以盗取COOKIE

漏洞证明:

QQ截图20131219133713.png

修复方案:

过滤~送个礼物~

版权声明:转载请注明来源 有点小鸡冻@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-12-19 17:28

厂商回复:

这个地方实在过滤不了,因为允许老师贴html进来,不过谢谢提醒。礼物稍后送上

最新状态:

暂无


漏洞评价:

评论

  1. 2013-12-21 10:45 | 九零少帅 ( 实习白帽子 | Rank:43 漏洞数:10 | 喂 你干嘛哩.)

    @有点小鸡冻 是不是布置作业的地方? 哈哈哈哈

  2. 2013-12-24 20:04 | 有点小鸡冻 ( 路人 | Rank:12 漏洞数:8 )

    @九零少帅 恩恩 是的 呀 你试了?

  3. 2013-12-25 09:58 | 九零少帅 ( 实习白帽子 | Rank:43 漏洞数:10 | 喂 你干嘛哩.)

    @有点小鸡冻 早知道了!一直收着哩。你既然提交了!!!!!!

  4. 2013-12-26 01:15 | 有点小鸡冻 ( 路人 | Rank:12 漏洞数:8 )

    @九零少帅 额。。好吧。