xpshop商城管理系统储存型XSS,可盲打后台

基本字段

漏洞编号:
SSV-96026
披露/发现时间:
2014-11-21
提交时间:
2014-11-21
漏洞等级:
漏洞类别:
其他类型
影响组件:
xpshop
漏洞作者:
路人甲
提交者:
Knownsec
CVE-ID:
补充
CNNVD-ID:
补充
CNVD-ID:
补充
ZoomEye Dork:
补充

来源

漏洞详情

贡献者 Knownsec 共获得  0KB

简要描述:

这个是商城管理系统,你们懂得哈~

详细说明:

demo演示哈~ 官网:http://xpshop.cn demo地址http://hzp.xpshop.cn demo后台:http://etp.xpshop.cn/admin 用户名:admin 密码:888888 先注册个会员账号,然后存在XSS的地址在会员中心--地址管理--收货人姓名那里我先插入

1.png

然后保存可以看到成功弹窗

2.png

然后查看源码可以看到是储存型XSS

3.png

接下来先去随便选个东西

4.png

然后购买,地址那里是我们之前插入的XSS语句

5.png

提交订单

6.png

查看订单可以看到成功触发XSS

7.png

接下来来到后台查看订单,可以看到成功触发XSS语句

8.png

9.png

10.png

漏洞证明:

8.png

9.png

10.png

共 0  兑换了

PoC

暂无 PoC

参考链接

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

人气 861
评论前需绑定手机 现在绑定

暂无评论

※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负