漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
飞思卡尔大赛官网持久型XSS以及盲打
相关厂商:
漏洞作者:
提交时间:
2013-01-29 17:12
修复时间:
2013-01-29 17:12
公开时间:
2013-01-29 17:12
漏洞类型:
xss跨站脚本攻击
危害等级:
低
自评Rank:
5
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2013-01-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-01-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
飞思卡尔大赛官网持久型XSS以及盲打
详细说明:
飞思卡尔大赛官网提问功能存在持久型XSS可导致盲打
受任于败军之际,奉命于危难之间,尼玛只能下半年时间老师让我搞飞思卡尔有木有?电路完全半吊子有木有?然后妥妥的手贱了。。
1、任意注册账号,进入修改资料页面:
2、队伍名称处填入XSScode
3、左侧提出问题
4、盲打后台
http://www.smartcar.au.tsinghua.edu.cn/admin/adminLogin.jsp
漏洞证明:
队伍名称处未过滤
修复方案:
过滤。
ps:表示对“提问标题”处有没有过滤表示很怀疑。但是没有试,影响范围太大鸟~
版权声明:转载请注明来源 DragonEgg@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝