厦门航空某分站cookie注入+HTTP Parameter Pollution
漏洞详情
披露状态:
2016-04-25: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开
简要描述:
cookie注入 hpp攻击利用比较抠脚
话说好像坐过厦航诶
详细说明:
cookie字段里ClientID参数存在注入:
数据库为oracle
hpp attack
存在的链接:http://shop.xiamenair.com/prolist.aspx?k=1&n941808=v923726
参数k
漏洞证明:
修复方案:
你们更专业
版权声明:转载请注明来源 小爷我抽不死你@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2016-04-26 14:30
厂商回复:
已确认,谢谢对厦航信息安全工作的支持
最新状态:
暂无