某大量矫情妹子才去的网站存在XSS | wooyun-2014-068901| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068901

漏洞标题：某大量矫情妹子才去的网站存在XSS

漏洞作者： Annabelle

提交时间：2014-07-18 09:59

修复时间：2014-09-01 10:00

公开时间：2014-09-01 10:00

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-18：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-09-01：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

美人终有迟暮，街边永远年轻！
还是指哪打哪的xss好..你看一个妹子文章写的好，发个私信..啧啧。
发现好多文艺的、矫情的、漂亮的妹子在这个网站注册唉。
感觉应该先不发出来，先鼓动某些妹子去注册一下..拿到他们家庭住址之后再发出来。

详细说明：

几乎完全没过滤..
目前发现xss的地方，有2处。
1、在文集简介处。

2、在片邮也就是私信处，指哪打哪，简直不要太方便。

漏洞证明：

修复方案：

不知道

版权声明：转载请注明来源 Annabelle@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞评价：

2014-07-20 16:59 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人，可能走的过程...)

之前片刻网的碎片和任意文章的评论均存在储存性XSS 但是wooyun无法联系到。。于是就没有rank了。。 WooYun: 片刻网碎片功能存储型XSS WooYun: 片刻任意文章评论存在XSS
2014-07-20 18:08 | Annabelle ( 实习白帽子 | Rank:46 漏洞数:15 | .)

@安然意境准备去打妹子cookie去.你看，那么多的文（jiao）艺（qing）妹子，你懂的。
2014-07-20 19:22 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人，可能走的过程...)

@Annabelle 之前打到了30多个 cookie当中只要伪造了“X1”这个就可以了。
2014-07-22 19:04 | Annabelle ( 实习白帽子 | Rank:46 漏洞数:15 | .)

@安然意境你好意思不发一些妹子照片么！求网盘链接.
2014-07-22 20:12 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人，可能走的过程...)

@Annabelle 没有照片。。弄了几个签约记者的账号还有一个妹子的家庭住址联系电话。。不过没备份删掉了-.-
2014-07-24 14:09 | Annabelle ( 实习白帽子 | Rank:46 漏洞数:15 | .)

@安然意境从邮箱下手，社工之。上次社一个域名，社到了域名跟一张漂亮妹子的照片，简直开森~
2014-08-15 12:19 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人，可能走的过程...)

@Annabelle 有好的社工平台推荐个么
2014-09-06 17:38 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人，可能走的过程...)

私信上次尝试过貌似只能self-xss

WooYun.org

漏洞概要 关注数(24) 关注此漏洞