ecshop XSS跨站脚本漏洞,直接搞进后台 你们懂的!
漏洞标题 | ecshop XSS跨站脚本漏洞,直接搞进后台 你们懂的! |
---|---|
相关厂商 | ShopEx |
漏洞作者 | 0x_Jin |
提交时间 | 2012-11-25 11:00 |
公开时间 | 2013-01-09 11:01 |
漏洞类型 | xss跨站脚本攻击 |
危害等级 | 中 |
自评Rank | 10 |
漏洞状态 | 厂商已经确认 |
Tags标签 | xss利用技巧,持久型xss,存储型xss |
漏洞详情
漏洞影响版本,尚未挨个确认!
有的版本你插入进去后 会有个文件对你插入的值进行确认 那种版本的X不鸟!
其他版本的 差不多 都可以!
存在于ecshop 下订单的地方!
把订单资料给填的详细一点,因为有个版本需要打印订单才能X到!
你只需要在下订单的那个附近标志物的输入框里 填写你的XSS代码即可!
然后在备注里面也写上 然后直接提交订单!
目前测试的几个版本来讲 有的点开订单 就会X到 还有个需要打印订单才能X到!
漏洞证明:
修复方案:
好像最新版本的也可以打印订单就执行代码!
修复的话 你们懂的! 你们另外一个版本就很不错。。。