当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145055

漏洞标题:动漫之家某处定向存储XSS漏洞

相关厂商:动漫之家

漏洞作者: creep

提交时间:2015-10-08 17:11

修复时间:2015-11-22 17:12

公开时间:2015-11-22 17:12

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

动漫之家网站创建于2005年,是国内最早、最大、最专业的动漫综合类平台,历经十年发展,在国内动漫平台中一直处于领先地位。动漫之家网站拥有国内最多的漫画内容,网站分为原创漫画、动漫情报、动画频道、漫画频道、轻小说、动漫之家论坛六大板块。其中,原创漫画频道为动漫之家主推的产品渠道。
动漫之家更加关注用户的喜好,致力于发掘精品原创漫画,强调漫画的故事性和画面感,使得动漫之家的用户群体更加贴近于动漫爱好者的主流人群。
动漫之家专注于原创动漫业务,利用互联网平台的优势,不断地提升原创动漫的发展空间,敢于做动漫行业“第一个吃螃蟹的人”。
动漫之家编年史
2005年1月 论坛建立
2006年5月 动漫之家漫画频道上线
2009年9月 动漫之家漫画频道改版
2009年12月 动漫之家动画频道上线
2010年5月 动漫之家轻小说频道上线
2014年12月 动漫之家APP上线
2014年12月 动漫之家新版网站上线

详细说明:

http://www.dmzj.com/


先注册两个账号 wooyun yunwoo 密码均是123456
登录wooyun这个账户 xss输入点在“个人中心”的“消息中心”里面的短信功能 经测试,标题和内容两个表单均可触发xss

1.png


再登录yunwoo

2.png


成功触发xss

漏洞证明:

http://www.dmzj.com/


先注册两个账号 wooyun yunwoo 密码均是123456
登录wooyun这个账户 xss输入点在“个人中心”的“消息中心”里面的短信功能 经测试,标题和内容两个表单均可触发xss

1.png


再登录yunwoo

2.png


成功触发xss

修复方案:

版权声明:转载请注明来源 creep@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评价

  1. 2016-02-27 17:03 | xiumu ( 路人 | Rank:6 漏洞数:2 | 新人)

    <,;'()>