当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127926

漏洞标题:苏宁易购某处xss,已获取后台cookie

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: 番茄师傅

提交时间:2015-07-21 11:17

修复时间:2015-09-06 10:06

公开时间:2015-09-06 10:06

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-23: 厂商已经确认,细节仅向厂商公开
2015-08-02: 细节向核心白帽子及相关领域专家公开
2015-08-12: 细节向普通白帽子公开
2015-08-22: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

苏宁易购某处xss,已获取后台cookie
我是看到有礼品卡才来的

详细说明:

1.png


3.png


4.png

漏洞证明:

4.png


cookie:JSESSIONID=PEkfZ5K6XXZoykRv6Y8DgkEG.master:bserver1; idsLoginUserIdLastTime=14040437; LtpaToken2=s7w/Rt8GlxObl6JHX64Yg5kdI1WtfrhUbSBelVclBkX9 NsIq1VudDycMO0x9o4/slHHJf7/MkFp7bLpKWQFs2ylFXyv2ro7rTSY9rwc82nvCFFlqB3ljnpYWnwn/hGALuRNrwhYjzVfy6d6RxdBO996TvohBRqn7llTq5EXk8qoEanZ3dJRO1ASvbYtiGs7bSYmNgTFrYevpmz29WEAx6F9IDtlE7ux/I1tNnBErEzj/B21Zb6nKC5JP3J 2nqDGSXE5 752537wzYEzwUS2XOV2sYE8DYtzWJzxYAG6JqgHK7aQ5z4aXOLcHXnGNvVaSmSoOV6KKCJ4lMjy5SyVriic6Iy9EboYt5 vOYObsXIXCP1aTOLQ8BkZrz4EddUBUXscbiOjPXHR03fuXHGTAssqBjVqQ2Ltfxhieam3yb cSBd QhEhe90kV858e2bGwZAOAiow65AU6N8dhFXsEZ3bdiMKri1xcbWq 8CN5/oXlKhkNUfkev2PJwHu 7e5SOVGqM2 Zhi97V7KACz6DwZAPHI9saITNkL9G7Ajd6Shldh50yhHZ44jCxyXxc3 go1OKKH2hvnYEJFM3YVDUEXJgslXa//kJIBPiKYKbSSnMAU9JSXMpqJJt1ehqFW2tKFPOAK GioGn0E5eLGTyQBPkss/RupwVaapS60p0=; LtpaToken=im 8VZgmf2LVuDmijoOvHKp9yP9cYVe6ZvECECtC3rzPB8mBVDrybN8pEHBcWMp6/DlJ3eyfhZSK1Bk8sSBZaDnyvoxDO/ENYH7yWiasHf3I3l70uzP8JCeaMO9yMxNyGSxu3L58XHUfQk2pS0zFpQSx7rAkvVm877aMgjijmtEuOQc8Nz3tuG3BDeUKx rgpw0c/RGrg3q2Tm xSmOziU2F8zT1he62b7tHfjJkFwUM2kccb/Wtu2xQyYya0zMWYtJ/OkIv4bPGvMRB UknpYXW8wwE7MQfxiXTDlpCdRAoAzT pvg9qGWN6rLVX2JmWFkm164ZDb9IPbNcnmsAew==

修复方案:

我是看到有礼品卡才来的

版权声明:转载请注明来源 番茄师傅@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-23 10:04

厂商回复:

感谢提交

最新状态:

2015-07-23:此漏洞为重复漏洞。感谢支持。


漏洞评价:

评论

  1. 2015-07-21 14:03 | 1937nick ( 实习白帽子 | Rank:97 漏洞数:32 | 水能载舟,亦能煮粥。物尽其用,人尽其能。)

    你确定你登上去?

  2. 2015-07-21 14:50 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    @1937nick 我说了我登上去了?

  3. 2015-07-23 12:48 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    @江苏苏宁易购电子商务有限公司 这个也重复了??