当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112257

漏洞标题:万方数据我还在凌乱着啊

相关厂商:wanfangdata.com.cn

漏洞作者: anting

提交时间:2015-05-06 09:53

修复时间:2015-06-25 08:42

公开时间:2015-06-25 08:42

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-06: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-21: 细节向核心白帽子及相关领域专家公开
2015-05-31: 细节向普通白帽子公开
2015-06-10: 细节向实习白帽子公开
2015-06-25: 细节向公众公开

简要描述:

故事还要从上一次说起,得到一个属于admin用户的弱口令,误以为是管理员,提交上去,小云说:这只是个普通用户。唉,原来如此,我的免费论文检测泡汤了....

详细说明:

利用获得的帐号,做了个小小的测试,发现了一点点问题
问题一:进行sql手工测试时的报错提醒http://authors.wanfangdata.com.cn/Contribute/Draft/BasicInfo/0cbeca16-3b07-48d2-b4c6-4b16b5230503如图一
问题二:反射性xss,首先在默认搜索框进行测试,但是会报错,系统忙,但是打开高级搜索时,使用高级搜索框进行检测,页面不会刷新会出现一些错误,不需要管,继续点击搜索,大概是第5次就会显示XSS错误如图2.3

漏洞证明:

1.jpg

2.jpg

11.PNG

修复方案:

过滤

版权声明:转载请注明来源 anting@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-05-11 08:41

厂商回复:

谢谢

最新状态:

暂无


漏洞评价:

评论