当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069141

漏洞标题:京东存储型xss一枚(可收用户cookie)

相关厂商:京东商城

漏洞作者: 路人甲

提交时间:2014-07-28 12:13

修复时间:2014-08-02 12:14

公开时间:2014-08-02 12:14

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-28: 细节已通知厂商并且等待厂商处理中
2014-08-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

京东存储型xss一枚(可用xss平台收用户cookie)

详细说明:

就是论坛的XSS
http://bbs.jd.com/
在回帖里写
ed2k://|file|1|'+alert(document.cookie)+'|1/
就弹出来了

jd.jpg


如果用xss平台来接收 应该能弄到不少用户的cookie了

漏洞证明:

D4D4982E@45941349.D6BFD553.jpg

修复方案:

升级

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-02 12:14

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-28 12:51 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    奶茶刘强东南京街头缠绵相拥

  2. 2014-07-28 12:54 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    奶茶刘强东南京街头缠绵相拥

  3. 2014-07-28 12:59 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    奶茶刘强东南京街头缠绵相拥

  4. 2014-07-28 13:07 | 不速之客 ( 路人 | Rank:0 漏洞数:1 | 既来之,则安之)

    神一样的存在

  5. 2014-07-28 13:20 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    相守赶紧出来

  6. 2014-07-28 13:31 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    奶茶刘强东南京街头缠绵相拥

  7. 2014-07-28 14:11 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)

    奶茶刘强东南京街头缠绵相拥

  8. 2014-07-28 14:27 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    奶茶刘强东南京街头缠绵相拥

  9. 2014-07-28 14:40 | 卡卡更健康 ( 实习白帽子 | Rank:71 漏洞数:14 )

    我要喝奶茶!!!

  10. 2014-07-28 14:43 | 风风 ( 普通白帽子 | Rank:101 漏洞数:43 | 。)

    奶茶刘强东南京街头缠绵拥抱 难舍难分http://www.takefoto.cn/wp-content/uploads/2014/07/201407280506482590.jpg

  11. 2014-07-28 14:53 | j14n ( 普通白帽子 | Rank:114 漏洞数:23 | 我是一只小小小小鸟....)

    奶茶刘强东南京街头缠绵相拥

  12. 2014-07-28 15:24 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)

    奶茶刘强东南京街头缠绵相拥

  13. 2014-07-28 15:26 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    漏洞复现失败,故此忽略

  14. 2014-07-28 15:32 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    怎么X京东?

  15. 2014-07-28 16:11 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    奶茶刘强东南京街头缠绵相拥

  16. 2014-07-28 16:17 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    奶茶刘强东南京街头缠绵相拥

  17. 2014-07-28 16:54 | 加菲猫1号 ( 路人 | Rank:0 漏洞数:1 | 只有猪肉卷是永恒的)

    奶茶刘强东南京街头缠绵相拥

  18. 2014-07-28 17:55 | 小小黑 ( 路人 | Rank:18 漏洞数:3 | ...)

    奶茶刘强东南京街头缠绵相拥

  19. 2014-07-28 19:17 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    奶茶刘强东南京街头缠绵拥抱 难舍难分

  20. 2014-07-28 19:24 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    奶茶刘强东南京街头缠绵相拥

  21. 2014-07-28 22:20 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    奶茶刘强东南京街头缠绵相拥,不要看我:(被曝花19万购物)

  22. 2014-07-28 22:21 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    奶茶妹妹和她的霸道总裁越恋越喜欢。自4月份恋情被曝光而后当事人承认之后,两人在欧洲、南京等各地不时被拍到同行的身影。7月26日,更有网友目击二人逛街之后缠绵拥抱,十分深情。刘强东曾说:“小天是我见过最单纯善良的人,只求以后可以正常牵手而行。”

  23. 2014-07-29 00:47 | 夏子均 ( 路人 | Rank:1 漏洞数:1 | 我是新来的哦)

    奶茶刘强东南京街头缠绵相拥

  24. 2014-07-29 01:03 | H.Rui ( 实习白帽子 | Rank:35 漏洞数:9 | Yeah!)

    奶茶刘强东南京街头缠绵相拥(上面的 都干嘛呢!!!)

  25. 2014-07-29 13:46 | 汪哥 ( 路人 | Rank:28 漏洞数:6 )

    奶茶刘强东南京街头缠绵相拥(上面的 都干嘛呢!!!)

  26. 2014-07-29 14:18 | 卡卡更健康 ( 实习白帽子 | Rank:71 漏洞数:14 )

    奶茶刘强东南京街头缠绵相拥(上面的 都干嘛呢!!!)

  27. 2014-07-29 14:19 | 卡卡更健康 ( 实习白帽子 | Rank:71 漏洞数:14 )

    能X到强东和奶茶妹的信息不?求分享!

  28. 2014-07-29 17:35 | 风风 ( 普通白帽子 | Rank:101 漏洞数:43 | 。)

    奶茶妹妹陪刘强东赴宴会友 甜蜜同居爱巢曝光

  29. 2014-07-30 07:08 | 卡卡更健康 ( 实习白帽子 | Rank:71 漏洞数:14 )

    求奶茶妹和强东电话

  30. 2014-07-31 19:46 | sutdy ( 普通白帽子 | Rank:101 漏洞数:33 | 0.0)

    奶茶刘强东南京街头缠绵相拥

  31. 2014-08-02 13:54 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    discuz的通用漏洞,但是这个漏洞没有办法发送cookies只能弹出XSS信息....所以很多厂商直接忽略了好像

  32. 2014-08-02 15:51 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    上联:奶茶奶差但耐插 下联:京东茎动难进洞 横批:东京热奶茶

  33. 2014-08-03 14:36 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    这个洞不是都出来好久了么,京东居然没修复?