招商银行某站XSS盲打商家管理后台

随便进入一个商品 然后进行商品咨询

http://mall.cmbchina.com/Product/S12-501-058-02_081.htm

Url：http://mall.cmbchina.com/salerPortal/Pages/Content/CustomerReviewEdit.aspx?SysNo=66258&Status=O&ProductSysNo=40505&ProductID=S1H-700-0QQ_019&Type=C

Cookie：BIGipServerPOOL_mall_salerportal=2283017388.20480.0000; VerifyCode=XWmOSnyJ/EcHypGotqQeFQ==; UserName=tljkf; TS2d4903=cb223ed7806de62027043f445cc63b2862cb8108bedf89be53b5260e6db1c1ce4a32891a36af3f5e89f3b852f1dea4d581cb2e1448b65d4f812b37e9

没测试能不能进入商家后台。。。因为我要去吃饭了。。。

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-07-04 08:14

厂商回复：

谢谢提供的漏洞，目前正在修复。

最新状态：

暂无

1. 2014-07-03 18:37 | mango ( 核心白帽子 | Rank:2165 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   0

   @疯狗 为什么交给第三方？？？

   1#回复此人

2. 2014-07-03 18:43 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   0

   @mango 搞错鸟吧

   2#回复此人

3. 2014-07-03 18:48 | mango ( 核心白帽子 | Rank:2165 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   0

   @xsser 恩~ 狗哥刚刚修改了~转到招商银行了

   3#回复此人

4. 2014-07-03 18:55 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   0

   @mango 这玩意是商家后台不

   4#回复此人

5. 2014-07-03 18:56 | mango ( 核心白帽子 | Rank:2165 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   0

   @xsser 是的

   5#回复此人

6. 2014-07-03 18:57 | mango ( 核心白帽子 | Rank:2165 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   0

   @xsser 不过httponly~ 唉~钓鱼试试 嘿嘿

   6#回复此人

7. 2014-07-03 19:58 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

   0

   呵呵，一看标题就是商城那块了

   7#回复此人

8. 2014-07-03 20:01 | mango ( 核心白帽子 | Rank:2165 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   0

   @蟋蟀哥哥 - -。。。。

   8#回复此人