用友软件企业空间多处xss

2016-02-16T00:00:00
ID SSV:93379
Type seebug
Reporter Root
Modified 2016-02-16T00:00:00

Description

简要描述:

用友软件企业空间多处xss

详细说明:

http://esn.chaoke.com http://www.upesn.com 其实都是同一个应用

漏洞证明:

注册个账号 登入 发日志

[<img src="https://images.seebug.org/upload/201602/1500013344d2007c0e518d185a925e16089e8368.png" alt="%KMRKL~U3$Z2($S7)S05NA.png" width="600" onerror="javascript:errimg(this);">

然后

[<img src="https://images.seebug.org/upload/201602/15000217a4c9279a9c4750b2623b125d62eb9ff9.png" alt="]SS@O~N2T6[94O63QBW8NR.png" width="600" onerror="javascript:errimg(this);">

然后 弹了好几个 貌似一个没过滤

[<img src="https://images.seebug.org/upload/201602/15000419f1c238302b2b60f88f5cc6b87af6d221.png" alt="DGMMKVZG%F{ARN)X20X75P.png" width="600" onerror="javascript:errimg(this);">

测试成功打到某某人的cookie

[<img src="https://images.seebug.org/upload/201602/15000510a2433184117de27d9cbf0553dcf1a18b.png" alt="O$XA)E5YD(V$6Q21UM4B[S.png" width="600" onerror="javascript:errimg(this);">