当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146240

漏洞标题:荆楚网湖北门户某处XSS跨站(已杀进后台/可导致全站用户数据泄漏/包括姓名/手机/详细地址等)

相关厂商:荆楚网

漏洞作者: 路人甲

提交时间:2015-10-12 18:47

修复时间:2015-11-30 17:52

公开时间:2015-11-30 17:52

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向核心白帽子及相关领域专家公开
2015-11-05: 细节向普通白帽子公开
2015-11-15: 细节向实习白帽子公开
2015-11-30: 细节向公众公开

简要描述:


网站挺大的

详细说明:

http://authors.cnhubei.com/Reg.html


打算注册个账号, 然后看到注册页面有个 个人简历 插入XSS

1.jpg


然后今天看了下发现打到了

http://authors.cnhubei.com/Model/AUTHORS/CheckUserManage.aspx?PageMenuID=11001
toplocation : http://authors.cnhubei.com/index.aspx
cookie : wdcid=7d13fb962bdf61d3; safedog-flow-item=EAEA0A89D3D2B1A90CDDD32DF662791A; __gads=ID=9653496479ec8f19:T=1438221636:S=ALNI_MYVQyU-ehyeaOZZJ7_MhwlwH7AB5w; vjuids=-f4fba4523.14f1c7ed590.0.cbb36d82b9048; vjlast=1439292118.1439292118.30; uacd=6fcd9253f3efb4e0472bba43ae1b5ba3013; Hm_lvt_323e775908e4ec807e10b5b426609b8e=1442304787,1443403084,1444438783; Hm_lpvt_323e775908e4ec807e10b5b426609b8e=1444438783; _ga=GA1.2.390082277.1428981816; pgv_pvi=5573409900; pgv_info=ssi=s5291313608; .ASPXAUTH=637CBEE7D669BCDD1AAA9C2E70B830E833336F310519739C5388763E439F7B14A67F9B2BEBED7AC12EDF990E9CEE5F0BEFE8DBFDFA4B3CE41E5769CDA149D5CEEBB2A6130A331AF152C05F67D1AB799BC0938EF77C8F09A5BBFDE8D9C1C81ED28FFA610FD59F8A15D557731CA19B033C635F49AF; __utma=253243478.390082277.1428981816.1444355193.1444611537.2; __utmb=253243478.4.10.1444611537; __utmc=253243478; __utmz=253243478.1444355193.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)

漏洞证明:

可知道所有用户的 登陆名 手机 详细地址 等资料

2.jpg


3.jpg

修复方案:

不知有没gift

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-10-16 17:50

厂商回复:

感谢!正在处理中!

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-16 18:27 | Submit ( 普通白帽子 | Rank:527 漏洞数:120 | )

    @荆楚网 还以为你不确认呢