天柏在线培训系统政府版用户注册存储xss

2014-07-29T00:00:00
ID SSV:95682
Type seebug
Reporter Root
Modified 2014-07-29T00:00:00

Description

简要描述:

上海天柏信息科技有限公司的系统 天柏在线培训系统政府版用户注册存在存储xss

详细说明:

http://www.timber2005.com/Customer.html 客户案例 在官网的给的政府版demo上测试的成功 用户注册地址:http://px3.timber2005.com/System/Stu_User_Regist.aspx 用户名之类的存在存储型xss漏洞

漏洞证明:

先去注册一个用户,用户名写入测试xss代码:

<img src="https://images.seebug.org/upload/201407/29152744a0804d696c7e13bb99b93fc2b2c2e4fb.jpg" alt="bb.jpg" width="600" onerror="javascript:errimg(this);">

然后使用官网给的后台管理密码到后台的用户管理就会发现xss代码执行了

<img src="https://images.seebug.org/upload/201407/29152851464073269a8af1ecc53fe6cbb11947ec.jpg" alt="bbb.jpg" width="600" onerror="javascript:errimg(this);">