快乐购某处存在dom型XSS

漏洞概要

缺陷编号:WooYun-2012-016441

漏洞标题:快乐购某处存在dom型XSS

相关厂商:快乐购物股份有限公司

漏洞作者:路过的菜鸟A

提交时间:2012-12-24 17:07

公开时间:2013-02-07 17:07

漏洞类型:XSS 跨站脚本攻击

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-12-24: 细节已通知厂商并且等待厂商处理中
2012-12-25: 厂商已经确认,细节仅向厂商公开
2013-01-04: 细节向核心白帽子及相关领域专家公开
2013-01-14: 细节向普通白帽子公开
2013-01-24: 细节向实习白帽子公开
2013-02-07: 细节向公众公开

简要描述:

快乐购某处存在dom型XSS

详细说明:

新建跟踪ID

抓包,修改

管理跟踪ID里面修改为刚才添加的

漏洞证明:

修复方案:

无论如何……至少你们的代码不严谨……

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-25 09:19

厂商回复:

针对XSS类型的漏洞,我们一般是判定为低风险的漏洞,一般是给5,感谢路过的菜鸟A,看来我们需要把所有的输入页面或提交页面都检查一遍了,礼物会随后送上,再次感谢!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @路过的菜鸟A 洞主想组建狗狗战队么,又来求礼物了。

  2. 2010-01-01 00:00 路过的菜鸟A 白帽子 | Rank:50 漏洞数:12)

    @se55i0n 这不是圣诞了么……想上去买个礼物给妹纸,结果顺手……

  3. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @路过的菜鸟A 哈哈,你们这些大黑阔呀~给妹子买礼物,都不忘顺手搞搞呀~

  4. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @路过的菜鸟A @se55i0n 你们全都是黑阔、甩甩手就能发现洞洞、让我等屌丝情何以堪·~··

  5. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    就是就是,让我等屌丝情何以堪啊。

  6. 2010-01-01 00:00 路过的菜鸟A 白帽子 | Rank:50 漏洞数:12)

    @se55i0n @Coody 你们都是大黑阔~我只是一个路过的菜鸟A~

  7. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @Coody 我是屌霸一枚,妹子喜欢去万达看电影,Coody黑阔求教怎么找万达的洞洞呀,送个会员卡神马的最不错了~

  8. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @鬼魅羊羔 你都火到凤凰去了。。。。。

  9. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    @se55i0n 火你妹啊,连我名字都没一个字。。

  10. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @se55i0n 额, 我肿么没有想到办一张会员卡啊/////啊啊啊····失策了。。。。。

  11. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @路过的菜鸟A @se55i0n @鬼魅羊羔 @Coody 对啊 我们那里也开了一家万达,我也要终身会员卡啊,只要看电影半价就可以了

  12. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    @小胖胖要减肥 苦逼的我的卡到期了,妹子要看电影,就要全票了呀~

  13. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @se55i0n 我觉得万达再送会员卡基友可以wb出售嘛,你懂的,大户