华天动力oa系统一处xss漏洞可盲打管理员

2014-07-04T00:00:00
ID SSV:95568
Type seebug
Reporter Root
Modified 2014-07-04T00:00:00

Description

简要描述:

xss

详细说明:

http://demo.oa8000.com

官网给的演示站点测试 帐号user密码123456 在新建任务插入xss代码-选择让整站人看到

<img src="https://images.seebug.org/upload/201407/0401470307b2258a24316f81b42c11d1bd42d044.jpg" alt="xss.jpg" width="600" onerror="javascript:errimg(this);">

管理员 帐号admin 密码123456 登录

<img src="https://images.seebug.org/upload/201407/040151171ee6c482c5b4d934cb00dc143037db4a.jpg" alt="xss.jpg" width="600" onerror="javascript:errimg(this);">

漏洞证明:

我TM没什么证明了,上传个图片传了几分钟.....给跪了