装小蜜APP客户端盲打(已登录CEO后台)

2016-04-07 3,062
漏洞标题 装小蜜APP客户端盲打(已登录CEO后台)
相关厂商 北京蜜蜂兄弟
漏洞作者 路人甲
提交时间 2016-02-02 12:07
公开时间 2016-03-17 18:12
漏洞类型 XSS 跨站脚本攻击
危害等级
自评Rank 20
漏洞状态 未联系到厂商或者厂商积极忽略
Tags标签 持久型xss,反射型xss,XSS

漏洞详情

下载APP反馈建议插入xss

后台查看触发

1.png

后台功能很多 ^_^

可以查看很多业主的信息包括工程

2.png

3.png

4.png

5.png

6.png

7.png

8.png

9.png

定位.png

还可以定位,^_^

合同打印表

10.png

客户

11.png

客户 : 【尼玛,把我的信息工程都泄露出去了,还装修个瘠薄】

漏洞证明:

11

修复方案:

11

版权声明:转载请注明来源 路人甲@乌云

Tags:
评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38605 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号