漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
某婚恋交友网xss可偷Cookie拿妹子信息可钓鱼
相关厂商:
漏洞作者:
提交时间:
2013-07-17 12:00
修复时间:
2013-08-31 12:01
公开时间:
2013-08-31 12:01
漏洞类型:
XSS跨站脚本攻击
危害等级:
中
自评Rank:
5
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2013-07-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-31: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
某婚恋交友网存在xss,可在给妹子发私信的时候xss,未过滤特殊字符,可偷cookie,可钓鱼
详细说明:
绝对100婚恋交友网个人中心给别人发私信时可直接嵌入恶意代码,系统未作任何过滤,导致查看私信时可触发恶意代码执行,cookie泄露甚至导致被钓鱼。
漏洞证明:
直接上图,刚注册完,系统默认给我推荐了个妹子,发个私信呗:
额,发送成功
过去看下刚才发的私信,果不其然:
不知道妹子会不会被这个标题给吸引,呵呵,点击试试
这个,个人觉得,,完全可以拿来钓鱼,,
还有,这个站貌似存在很大一批xss
修复方案:
xss过滤
版权声明:转载请注明来源 一只猿@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝