XSS found on Alibaba.com

漏洞概要

缺陷编号:WooYun-2012-011412

漏洞标题:XSS found on Alibaba.com

相关厂商:阿里巴巴

漏洞作者:Gunther

提交时间:2012-08-27 16:07

公开时间:2012-10-11 16:08

漏洞类型:XSS 跨站脚本攻击

危害等级:低

自评Rank:2

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-08-27: 细节已通知厂商并且等待厂商处理中
2012-08-29: 厂商已经确认,细节仅向厂商公开
2012-09-08: 细节向核心白帽子及相关领域专家公开
2012-09-18: 细节向普通白帽子公开
2012-09-28: 细节向实习白帽子公开
2012-10-11: 细节向公众公开

简要描述:

There is a reflected XSS bug on the search function of alibaba.com

详细说明:

Severity: XSSConfidence: ConfidentHost: www.alibaba.com/Path: /trade/search?SearchText=&IndexArea=Products&fsb=yIssue detail:If you enter the following XSS vector for the search function:"><iframe/onload=alert(document.cookie)>The post parameters will cause a XSS like the image below.

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-08-29 14:47

厂商回复:

@Gunther,thank you so much for the xss bug information~

最新状态:

暂无

评价

  1. 2010-01-01 00:00 goderci 白帽子 | Rank:522 漏洞数:47)

    you are a waiguoren ?

  2. 2010-01-01 00:00 风萧萧 白帽子 | Rank:874 漏洞数:67)

    有意思了,剑总影响力太大了

  3. 2010-01-01 00:00 小乖 白帽子 | Rank:19 漏洞数:5)

    @goderci 哈哈哈亮了..
    剑总微博说是外国来的白帽子,这象征着wooyun要走向国际化了么?

  4. 2010-01-01 00:00 Vty 白帽子 | Rank:165 漏洞数:21)

    阿尤热得?

  5. 2010-01-01 00:00 邻国宰相 白帽子 | Rank:116 漏洞数:16)

    ...............

  6. 2010-01-01 00:00 瓜瓜 白帽子 | Rank:158 漏洞数:24)

    火了..乌云火了

  7. 2010-01-01 00:00 cnyouker 白帽子 | Rank:114 漏洞数:13)

    牛逼!

  8. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    you be out country people me?

  9. 2010-01-01 00:00 邻国宰相 白帽子 | Rank:116 漏洞数:16)

    都国际化了,大家以后都英文提交吧...........

  10. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    目测澳大利亚的

  11. 2010-01-01 00:00 波波虎 白帽子 | Rank:260 漏洞数:50)

    乌云有英文版本吗

  12. 2010-01-01 00:00 koohik 白帽子 | Rank:536 漏洞数:60)

    国外的?牛逼啊

  13. 2010-01-01 00:00 tabjtam 白帽子 | Rank:11 漏洞数:2)

    一个英文标题引来这么多关注和评论,你们能不能直起腰来沟通啊.每天那么多注入,那么多存储XSS站没看你们这么嗨.

  14. 2010-01-01 00:00 pentest 白帽子 | Rank:5 漏洞数:2)

    这wooyun也没英文版啊

  15. 2010-01-01 00:00 ufohacker 白帽子 | Rank:0 漏洞数:0)

    |(|55? /\/\7 455

  16. 2010-01-01 00:00 鱼化石 白帽子 | Rank:89 漏洞数:15)

    anyone

  17. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @Gunther, seems that many whitehats want to know where are you come from, and your research field...

  18. 2010-01-01 00:00 pfdz 白帽子 | Rank:99 漏洞数:13)

    please jia wo qq....

  19. 2010-01-01 00:00 冷冷的夜 白帽子 | Rank:75 漏洞数:12)

    @pfdz you qq duo shao ?

  20. 2010-01-01 00:00 pfdz 白帽子 | Rank:99 漏洞数:13)

    @冷冷的夜 five three one four eight six night seve,please zhao me

  21. 2010-01-01 00:00 坏虾 白帽子 | Rank:26 漏洞数:6)

    wo le ge qu ,ni men shi zai shuo ying yu me ? da jia ying yu shui ping dou bu cuo a .

  22. 2010-01-01 00:00 Xhm1n9 白帽子 | Rank:57 漏洞数:13)

    拐外人

  23. 2010-01-01 00:00 tnt1200 白帽子 | Rank:54 漏洞数:7)

    @冷冷的夜 @pfdz @xsjswt @goderci your english all good .....

  24. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    @tnt1200 no usual thx

  25. 2010-01-01 00:00 safefocus 白帽子 | Rank:16 漏洞数:3)

    shit,ni men are all hacker,your quan jia are all hacker