adultfriendfinder(国外成人色情交友网站)XSS偷cookies

漏洞概要

缺陷编号:WooYun-2013-018058

漏洞标题:adultfriendfinder(国外成人色情交友网站)XSS偷cookies

相关厂商:adultfriendfinder(国外成人色情交友)

漏洞作者:whirlwind

提交时间:2013-01-29 15:01

公开时间:2013-01-29 15:01

漏洞类型:XSS 跨站脚本攻击

危害等级:中

自评Rank:6

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-01-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-01-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

没有过滤XSS,且管理员必须访问

详细说明:

在帐号未审核时,可以提交留言,然后他会给你发送邮件,没有过滤XSS。。。然后管理的cookies就来了,没翻墙上不去似乎。。或者过滤了IP

漏洞证明:

最后发现管理员居然是台湾的。。似乎是代理一个更大的成人交友站

修复方案:

不建议修复。。网监快上

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    我擦 这个碉堡了 福利啊

  2. 2010-01-01 00:00 rootsec 白帽子 | Rank:33 漏洞数:4)

    '不建议修复 。。网监快上'

  3. 2010-01-01 00:00 c4rp3nt3r 白帽子 | Rank:44 漏洞数:10)

    这不算传播xx信息吗?

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    这个问题说明,国外的站点存在一样的安全问题

  5. 2010-01-01 00:00 qiaoy 白帽子 | Rank:116 漏洞数:15)

    1024

  6. 2010-01-01 00:00 Jonasen 白帽子 | Rank:54 漏洞数:9)

    霸气了。。。

  7. 2010-01-01 00:00 lion(lp) 白帽子 | Rank:115 漏洞数:14)

    @xsser 要不开个乌云国际版 ?

  8. 2010-01-01 00:00 hqdvista 白帽子 | Rank:141 漏洞数:22)

    @xsser 其实可以先把wooyun的漏洞出个英文翻译版,这样就可以在paper里引用了

  9. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @hqdvista 英语没过4级

  10. 2010-01-01 00:00 O.o 白帽子 | Rank:105 漏洞数:12)

    @xsser 3级也可以。chingish

  11. 2010-01-01 00:00 DragonEgg 白帽子 | Rank:70 漏洞数:12)

    @O.o 为啥不弄个自动google 翻译插件?

  12. 2010-01-01 00:00 无敌L.t.H 白帽子 | Rank:21 漏洞数:4)

    https

  13. 2010-01-01 00:00 Kaier 白帽子 | Rank:11 漏洞数:1)

    1024

  14. 2010-01-01 00:00 陈再胜 白帽子 | Rank:101 漏洞数:13)

    @qiaoy @Kaier 1024啥意思?

  15. 2010-01-01 00:00 liyang 白帽子 | Rank:20 漏洞数:10)

    你上那网站找到朋友了么~~嘿嘿~

  16. 2010-01-01 00:00 Kaier 白帽子 | Rank:11 漏洞数:1)

    @陈再胜 亲,这是某个论坛标志性恢复- -

  17. 2010-01-01 00:00 Kaier 白帽子 | Rank:11 漏洞数:1)

    回复

  18. 2010-01-01 00:00 O.o 白帽子 | Rank:105 漏洞数:12)

    @陈再胜 百度NHB最新版,下载部署并地址栏输入1024

  19. 2010-01-01 00:00 king 白帽子 | Rank:15 漏洞数:2)

    cookis 前面的是不是明文密码账号,有没有试过?

  20. 2010-01-01 00:00 whirlwind 白帽子 | Rank:24 漏洞数:6)

    @king 没想到啊。。不过似乎后台有IP白名单。。。进不去。我翻墙,我找台湾朋友都打不开。。。XD,发上来大家一起搞搞,球VIP,哈哈

  21. 2010-01-01 00:00 whirlwind 白帽子 | Rank:24 漏洞数:6)

    @O.o 惊喜是啥啊,我没winphone手机。。。

  22. 2010-01-01 00:00 O.o 白帽子 | Rank:105 漏洞数:12)

    @whirlwind 嘿嘿。各种新鲜可口的传送门