漏洞概要
关注数(24)
关注此漏洞
漏洞标题:成人用品App他趣 XSS盲打管理员/已进后台(涉及千万用户数据)
漏洞作者: 北丐
提交时间:2015-06-25 10:15
修复时间:2015-08-09 10:20
公开时间:2015-08-09 10:20
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-06-25: 细节已通知厂商并且等待厂商处理中
2015-06-25: 厂商已经确认,细节仅向厂商公开
2015-07-05: 细节向核心白帽子及相关领域专家公开
2015-07-15: 细节向普通白帽子公开
2015-07-25: 细节向实习白帽子公开
2015-08-09: 细节向公众公开
简要描述:
XSS盲打管理员,已进后台。1000多万用户的成人用品后台,信息量太大太大。其实我是想买两个TT的,结果就发现这么多信息
详细说明:
手机端插入
然后获取到了管理员的cookie
拿到cookie后进后台。官方为了炒话题,竟然还建立了很多马甲
所有用户信息都能看到,粗略扫了一眼有1000多万用户,信息量还是挺大的
漏洞证明:
修复方案:
版权声明:转载请注明来源 北丐@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-06-25 10:18
厂商回复:
十分感谢帮忙发现提交这个漏洞,目前已经在修复中
最新状态:
暂无
漏洞评价:
评论
-
2015-06-24 18:47 |
茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)
-
2015-06-24 22:52 |
北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )
-
2015-06-24 23:48 |
%230CC ( 路人 | Rank:6 漏洞数:2 | 溜溜)
涉及1000万用户数据 。。。。中国的需求量这么大吗? 希望能重建东莞。。。
-
2015-06-25 11:15 |
hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)
-
2015-06-25 11:16 |
北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )
@hkAssassin 真给我一箱子tt我也用不完啊
-
2015-06-25 11:17 |
北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )
@%230CC 其实我们都忽略了这种平台,活跃度远远超出想象
-
2015-06-25 11:53 |
北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )
-
2015-06-25 12:20 |
暗香疏影 ( 路人 | Rank:3 漏洞数:4 | 我感动哭了)
-
2015-06-25 12:21 |
北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )
-
2015-06-25 13:01 |
❤ ( 普通白帽子 | Rank:276 漏洞数:69 | ❤)
-
2015-06-25 13:16 |
My.Dream ( 普通白帽子 | Rank:111 漏洞数:24 | 大神别打我)
-
2015-06-25 18:11 |
%230CC ( 路人 | Rank:6 漏洞数:2 | 溜溜)
@hkAssassin 施瓦辛格版本充气娃娃。。。。
-
2015-06-25 18:11 |
%230CC ( 路人 | Rank:6 漏洞数:2 | 溜溜)
-
2015-06-25 22:27 |
北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )
-
2015-06-26 09:23 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
涉及1000万用户数据 。。。。中国的需求量这么大吗? 希望能重建东莞。。。
-
2015-08-09 10:33 |
EtherDream ( 实习白帽子 | Rank:64 漏洞数:11 | JSHacker)
-
2015-08-12 23:32 |
丶潇洒哥 ( 路人 | Rank:5 漏洞数:2 | 我是一枚农民工。)
