缺陷编号:WooYun-2015-0125840
漏洞标题:足迹像电影一样去生活之像电影一样打到管理员后台
相关厂商:fotoplace.cc
漏洞作者:路人甲
提交时间:2015-07-10 10:49
公开时间:2015-07-15 10:50
漏洞类型:XSS 跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-10: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-07-15: 厂商已经主动忽略漏洞,细节向公众公开
足迹app广告语,“像电影一样去生活”--像电影一样打到管理员后台
发现好多人都在用这款app,于是现在下来测一下 发现存在xss,直接打到管理员哦
问题在吐槽处
管理员cookie好多呀,可利用cookie直接登录管理员后台哦
1 2 3 4 |
ocation : http://fotoplace.cc/admin/src/notify/notifies.php#<br> toplocation : http://fotoplace.cc/admin/<br> cookie : cookie_tempuid=192.168.100.614340033551007932712; leslieucookie=sdlsllsjavafjl90sdfoiwersdflkjslrdsffxx<br> opener : |
1 2 3 |
HTTP_REFERER : http://fotoplace.cc/admin/src/notify/notifies.php<br> HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36<br> REMOTE_ADDR : 101.230.15.34 |
问题严重 赶快修复吧
已证明
过滤一下cookie选httponly呀
危害等级:无影响厂商忽略
忽略时间:2015-07-15 10:50
漏洞Rank:15(WooYun评价)
2015-07-15:来晚了一步.
原文连接
的情况下转载,若非则不得使用我方内容。