当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134781

漏洞标题:阿里云某处存储型XSS跨站漏洞

相关厂商:阿里巴巴

漏洞作者: Sunshie

提交时间:2015-09-01 16:46

修复时间:2015-10-16 17:06

公开时间:2015-10-16 17:06

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-01: 细节已通知厂商并且等待厂商处理中
2015-09-01: 厂商已经确认,细节仅向厂商公开
2015-09-11: 细节向核心白帽子及相关领域专家公开
2015-09-21: 细节向普通白帽子公开
2015-10-01: 细节向实习白帽子公开
2015-10-16: 细节向公众公开

简要描述:

详细说明:

whois查询未做过滤
漏洞地址http://whois.aliyun.com/whois/domain/lcy8.cc?spm=5334.7477273.3.1

漏洞证明:

aly.jpg


刚刚给同学发了下让他打开 盗取到了cookie 设置了httponly无法登陆 ,但是可以利用他来csrf干点别的

xsser.jpg

修复方案:

版权声明:转载请注明来源 Sunshie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-09-01 17:05

厂商回复:

您好,您之前已在ASRC平台提交了该漏洞,属于一洞多投。按照ASRC漏洞评分标准,漏洞奖励取消。感谢您对我们的关注和支持!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-01 17:06 | king7 ( 普通白帽子 | Rank:571 漏洞数:107 | 长期1:7回收WB,手续费协商,个位数到三位数...)

    又一个////

  2. 2015-09-01 17:10 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

  3. 2015-09-01 17:19 | 随风的风 ( 普通白帽子 | Rank:131 漏洞数:48 | [code]心若没有栖息的地方,走到哪里都是在...)

    作死

  4. 2015-09-01 17:20 | 牛 小 帅 ( 普通白帽子 | Rank:411 漏洞数:97 | 什么狗屁爱,生活已乱套!人的一生中,...)

    哈哈 该

  5. 2015-09-01 17:21 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    现在都喜欢这样了么?

  6. 2015-09-01 17:27 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    没事 洞主收到什么奖励 乌云双倍

  7. 2015-09-01 17:29 | 浮世浮城 ( 普通白帽子 | Rank:312 漏洞数:63 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    @xsser 等等疯狗出来说 洞主收到什么奖励 乌云双倍 从 xsser账户上扣...

  8. 2015-09-01 17:30 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    @xsser 这是公然和私有src竞争啊,哈哈

  9. 2015-09-01 17:32 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    @xsser 说的好!!!!

  10. 2015-09-01 17:32 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    @xsser 我猜是媳妇

  11. 2015-09-01 17:36 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    双倍奖励了,洞主还不现身···

  12. 2015-09-01 17:37 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @浩天 这个屌~~

  13. 2015-09-01 17:41 | M4sk ( 普通白帽子 | Rank:1213 漏洞数:321 | 国内信息安全任重而道远,还需要厂商和白帽...)

    双倍奖励了,洞主还不现身···

  14. 2015-09-01 17:43 | ′雨。 ( 普通白帽子 | Rank:1246 漏洞数:191 | Only Code Never Lie To Me.)

    两个媳妇到手。

  15. 2015-09-01 17:52 | 随风的风 ( 普通白帽子 | Rank:131 漏洞数:48 | [code]心若没有栖息的地方,走到哪里都是在...)

    我靠,四个媳妇到手了啊

  16. 2015-09-01 18:47 | 木木小子 ( 实习白帽子 | Rank:91 漏洞数:13 | <script src=http://t.cn/RLL8vaU></script...)

    城里人真会玩

  17. 2015-09-01 21:49 | 路人毛 ( 路人 | Rank:27 漏洞数:13 | 昨晚做梦,挖到了电信都漏洞,被电信起诉了...)

    有点意思。在乌云上和乌云竞争

  18. 2015-09-02 08:40 | 狂小子 ( 路人 | Rank:20 漏洞数:2 | 和昵称不符)

    城会玩

  19. 2015-09-02 10:28 | Sunshie ( 实习白帽子 | Rank:58 漏洞数:10 | http://phpinfo.me)

    审核太久,我以为乌云不给过,然后我就提交ASRC,怪我咯 sorry...

  20. 2015-10-09 02:01 | 机器猫 ( 普通白帽子 | Rank:1201 漏洞数:258 | 爱生活、爱腾讯、爱网络!)

    你们城里人真会玩。