APP安全之刷脸一处鸡肋无权限xss可操控27w用户总交易金额22亿(大量持身份证照片)

漏洞概要 关注数(18) 关注此漏洞

缺陷编号： WooYun-2016-197959

漏洞标题： APP安全之刷脸一处鸡肋无权限xss可操控27w用户总交易金额22亿(大量持身份证照片)

相关厂商： o2osl.com

漏洞作者： 小龙

提交时间： 2016-04-21 19:39

公开时间： 2016-06-05 19:50

漏洞类型： XSS 跨站脚本攻击

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 持久型xss 存储型xss XSS

0人收藏

漏洞详情

披露状态：

2016-04-21： 细节已通知厂商并且等待厂商处理中
2016-04-21： 厂商已经确认，细节仅向厂商公开
2016-05-01： 细节向核心白帽子及相关领域专家公开
2016-05-11： 细节向普通白帽子公开
2016-05-21： 细节向实习白帽子公开
2016-06-05： 细节向公众公开

简要描述：

浙江脸谱科技有限公司简称脸谱中国FACE CHINA，致力于为全国1000万老板构建一个专属于自己阶层交往和生意的圈子，打造生意人交往与生意的平台。通过平台，构建专属于自己的客户圈层经营，让企业从单纯的“卖产品赚差价”升级到“经营客群赚价值”，革新企业商业模式架构，建立圈层经营平台，实现企业可持续发展，帮助企业老板强大自己。

浙江脸谱科技有限公司
成立时间2014-05-28所在地中国杭州注册资本5800万元人民币法定代表人郑建武企业类型有限责任公司组织机构代码399628106经营范围
服务:计算机软硬件、电器、生物技术的技术开发、技术服务,企业管理咨询,企业形象策划,会务服务,展览展示,经济信息咨询,投资咨询(除证券、期货);...展开

详细说明：

toplocation : http://mcenter.o2osl.com:8888/home/Backstage/homePage
 cookie : PHPSESSID=2sf59pm33lda90o6838bss3ch4

Database: wgj_s4
 Table: c_user
 [31 entries]
 +-------------------+-------+
 | password          | name  |
 +-------------------+-------+
 | superadmino2osl   | 超级管理员 |

漏洞证明：

修复方案：

版权声明：转载请注明来源 小龙@乌云

漏洞回应