漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-11-09: 细节已通知厂商并且等待厂商处理中
2015-11-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
云南开放大学某后台设计不当导致登陆后台并1元购书
详细说明:
设计不当的后台页面:http://**.**.**.**/cms/member/login.jsp
只需输入正确的用户名,然后单击其他位置,密码自动填写!
然后点教材商城即可1元购书
漏洞证明:
修复方案:
应该是代码不当
<p>账 号: <input id="inp_name" class="input_out" style='width:160px' type="text" onfocus="this.className='input_on';this.onmouseout=''"
onblur="this.className='input_off';this.onmouseout=function() {this.className='input_out'};"
onmousemove="this.className='input_move'" onmouseout="this.className='input_out'" name="username" />
</p>
</li>
<li>
<p>密 码: <input id="inp_email" class="input_out" style='width:80px' type="password" onfocus="this.className='input_on';this.onmouseout=''"
onblur="this.className='input_off';this.onmouseout=function() {this.className='input_out'};"
onmousemove="this.className='input_move'" onmouseout="this.className='input_out'" name="pwd" />
版权声明:转载请注明来源 Kiran@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-11-21 20:54
厂商回复:
最新状态:
暂无