漏洞概要
关注数(24)
关注此漏洞
漏洞标题:国内某大型招聘网站XSS盲打漏洞可导致getshell影响敏感信息
提交时间:2014-12-21 21:53
修复时间:2015-02-04 21:54
公开时间:2015-02-04 21:54
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-12-21: 细节已通知厂商并且等待厂商处理中
2014-12-25: 厂商已经确认,细节仅向厂商公开
2015-01-04: 细节向核心白帽子及相关领域专家公开
2015-01-14: 细节向普通白帽子公开
2015-01-24: 细节向实习白帽子公开
2015-02-04: 细节向公众公开
简要描述:
国内某大型招聘网站XSS漏洞导致打进后台-->导致GETSHELL-->导致敏感信息泄露
详细说明:
http://99.zhaopin.com
注册会员-->发表招聘
在公司地址处存在XSS
等啊等.....终于等到了
这只是一台数据库服务器的,还找到其它几台数据库服务器和内网一些敏感信息。
未敢继续往内网深入。
只是执行了图中的几条查询,未脱裤。
漏洞证明:
修复方案:
版权声明:转载请注明来源 0x70@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-12-25 20:20
厂商回复:
感谢对我们的关注,问题已处理,祝圣诞节快乐.
最新状态:
暂无
漏洞评价:
评论
-
2014-12-21 21:55 |
刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)
-
2014-12-21 21:56 |
kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)
-
2014-12-21 22:08 |
天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)
-
2014-12-21 22:36 |
laoyao ( 路人 | Rank:14 漏洞数:5 | ด้้้้้็็็็็้้้้้็็็็...)
2014-12-21 21:55 | 刘海哥 ( 实习白帽子 | Rank:53 漏洞数:18 | http://www.nicoqin.com/) 0...1#2014-12-21 21:56 | kydhzy ( 普通白帽子 | Rank:128 漏洞数:23 | 专业不专业?) 0前排2#回复此人2014-12-21 22:08 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:172 漏洞数:44 | 可能有很多厂商 很多人会认为 白帽子 就是...) 0。。。。。
-
2014-12-21 22:52 |
Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA,I am coming!!!!!)
-
2014-12-25 23:55 |
Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)
“12月3日下午消息,智联招聘今日发布公告,对漏洞报告平台乌云网站上午公布的疑似漏洞问题进行了正式回应,称经过技术部门排查,漏洞系子虚乌有。。。根据智联招聘提供的数据,目前其简历数据库中的近亿份简历,均无法在互联网上访问;并且有严密的数据库网络防火墙,安全及运维部门实施24小时监控,有完善的数据保障机制。 ” 我TM笑而不语。
