平安银行某分站存储型xss漏洞直击客服

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099160

漏洞标题：平安银行某分站存储型xss漏洞直击客服

漏洞作者：泳少

提交时间：2015-03-02 21:28

修复时间：2015-04-16 21:30

公开时间：2015-04-16 21:30

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-02：细节已通知厂商并且等待厂商处理中
2015-03-03：厂商已经确认，细节仅向厂商公开
2015-03-13：细节向核心白帽子及相关领域专家公开
2015-03-23：细节向普通白帽子公开
2015-04-02：细节向实习白帽子公开
2015-04-16：细节向公众公开

简要描述：

你们hr给我电话了。我真的很珍惜这份工作喔~

详细说明：

客服这儿~

过滤了。现在引用zone的一篇文章：http://zone.wooyun.org/content/17605

接着不知道怎么回事进入人工了

漏洞证明：

手贱发了一堆xss代码过去~

谁知道他说1？这个是啥。接着。。。

修复方案：

好好过虑下

版权声明：转载请注明来源泳少@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：4

确认时间：2015-03-03 17:43

厂商回复：

已安排对漏洞进行修复的计划

漏洞评价：

2015-03-02 21:30 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了，跪着也要...)

一提交就秒审核了这速度谁干的？
2015-03-02 21:31 | hope ( 路人 | Rank:1 漏洞数:2 | 一个小菜)

膜拜泳少大黑阔
2015-03-02 21:32 | 袋鼠爸爸 ( 路人 | Rank:14 漏洞数:5 | "><img src=x onerror=alert(1);</img>)

师傅你是怎么做到的
2015-03-02 21:36 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@泳少手抖？
2015-03-02 21:38 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了，跪着也要...)

@xsser 快说谁审核的。手速这么快。。
2015-03-02 21:42 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

我放弃了去平安蛮好的地方
2015-03-03 10:18 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

@爱上平顶山为什么不来，中国平安，不只保险这么简单，哈哈。
2015-04-16 21:40 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

师傅你是怎么做到的
2015-04-16 22:05 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了，跪着也要...)

@袋鼠妈妈手贱就可以了=，=
2015-04-16 22:19 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

@泳少居然在！
2015-04-16 23:05 | Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA，I am coming！！！！！)

我的平安主站注入才5RANK。。。。
2015-04-17 09:39 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

@泳少咏少去平安了？
2015-04-17 13:56 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)

乌云顶级白帽子，爱尖刀是这么介绍你的~
2015-04-17 14:09 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了，跪着也要...)

@todaro =.=

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099160

漏洞标题：平安银行某分站存储型xss漏洞直击客服

相关厂商：平安银行

漏洞作者：泳少

提交时间：2015-03-02 21:28

修复时间：2015-04-16 21:30

公开时间：2015-04-16 21:30

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源泳少@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099160

漏洞标题：平安银行某分站存储型xss漏洞直击客服

相关厂商：平安银行

漏洞作者： 泳少

提交时间：2015-03-02 21:28

修复时间：2015-04-16 21:30

公开时间：2015-04-16 21:30

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-099160"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 泳少@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：泳少

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源泳少@乌云