酒仙网官网存在xss跨站攻击在线可获取160多万订单数据 获取后台地址

编号23877
Urlhttp://www.wooyun.org/bug.php?action=view&id=23877
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题酒仙网官网存在xss跨站攻击在线可获取160多万订单数据 获取后台地址
漏洞类型XSS跨站脚本攻击
厂商酒仙网
白帽子by:安全者
提交日期2013-05-27 18:30:00
公开日期2013-06-01 18:31:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签用户敏感信息泄漏 用户敏感数据泄漏 住址身份证姓名等敏感信息 用户敏感信息泄露 数据库被下载
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank0
漏洞简介
注册账号下订单 xss代码插入 地址栏 电话栏 发票栏 留言栏
漏洞细节

4.jpg


7.jpg


5.jpg

POC

6.jpg


8.jpg

修复方案

管理员自己懂得的 省略了

状态信息 2013-05-27: 细节已通知厂商并且等待厂商处理中
2013-06-01: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None
回应信息危害等级:无影响厂商忽略忽略时间:2013-06-01 18:31
Showing 1-4 of 4 items.
评论内容评论人点赞数评论时间

@by:安全者 我直接提交给厂商的

银冥币02013-06-30 07:02:00

@Nicky @by:安全者 地址电话貌似直接被清楚掉,源代码里面看不见,留言和发票前台不解析!不知道后台怎么样!

zkz02013-05-17 16:41:00

好像没有吧,都没看到其他人提交

by:安全者02013-05-17 00:01:00

早有人提交过了好像,厂商没反应

Nicky02013-05-16 21:38:00