漏洞详情

披露状态:

2014-04-16: 细节已通知厂商并且等待厂商处理中
2014-04-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

啦啦啦

详细说明:

2.jpg



今天在群里,看见某个人丢出了个站。



卧槽这不是tom 么。



竟然还有挂主页的sb。。



然后随后,便有了一些漏洞



http://sms.tom.com/brand_vote/succ.php?id=0423"> <script>alert(1)</script>



http://sms.tom.com/red_sect/detail.php?type=html&id=../"><script>alert(1)</script>



http://sms.tom.com/sms_admin/ 越权= =直接修改文件

2.jpg





http://sms.tom.com/pk12530/yn/news_detail.php?id=14 注入



http://sms.tom.com/dbtel/show_video.php?id=12 注入

2.jpg





http://sms.tom.com/msg_upload/rank_content.php?type=3 注入。。



完毕



记得看望挂主页的黑阔的水表。。



看他们水表是否要交钱

漏洞证明:

2.jpg



今天在群里,看见某个人丢出了个站。



卧槽这不是tom 么。



竟然还有挂主页的sb。。



然后随后,便有了一些漏洞



http://sms.tom.com/brand_vote/succ.php?id=0423"> <script>alert(1)</script>



http://sms.tom.com/red_sect/detail.php?type=html&id=../"><script>alert(1)</script>



http://sms.tom.com/sms_admin/ 越权= =直接修改文件

2.jpg





http://sms.tom.com/pk12530/yn/news_detail.php?id=14 注入



http://sms.tom.com/dbtel/show_video.php?id=12 注入

2.jpg





http://sms.tom.com/msg_upload/rank_content.php?type=3 注入。。



完毕



记得看望挂主页的黑阔的水表。。



看他们水表是否要交钱

修复方案:

你们比我懂。另外向水表致敬!

版权声明:转载请注明来源 Skull@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-04-16 19:21

厂商回复:

最新状态:

暂无


漏洞评价: