erotogenic E大官網 Clickjacking & 疑似 html injection - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00315
  •  發信 Vendor: 情趣用品界第一把交椅
  • Title: erotogenic E大官網 Clickjacking & 疑似 html injection
  • Introduction: Clickjacking html injection
  • 獎勵金

處理狀態

目前狀態

公開
Last Update : 2024/05/31
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2024/04/04 12:41:29 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 12:41:51 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 12:46:18 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 12:46:36 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 20:20:14 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 20:20:31 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 21:49:14 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/04 21:49:36 : 新提交 (由 dkri3c1 更新此狀態)
  • 2024/04/11 15:05:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/05/01 03:41:31 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/05/01 03:41:31 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/05/01 03:41:31 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/05/27 16:50:52 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2024/05/27 17:31:20 : 確認已修補 (由 dkri3c1 更新此狀態)
  • 2024/05/31 03:00:10 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00315
  • 通報者:dkriecl (dkri3c1)
  • 風險:低
  • 類型:ClickJacking (ClickJacking)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://erotogenic.com.tw
https://erotogenic.com.tw/search.php?kw=%3Cform+method%3D%22GET%22%3EUsername%3A+%3Cinput+type%3D%22text%22+name%3D%22username%22+value%3D%22%22+%2F%3E+%3Cbr+%2F%3EPassword%3A+%3Cinput+type%3D%22password%22+name%3D%22passwd%22+value%3D%22%22+%2F%3E+%3Cbr+%2F%3E%3Cinput+type%3D%22submit%22+name%3D%22submit%22+value%3D%22login%22+%2F%3E%3C%2Fform%3E

敘述

Clickjacking

image1
image2

html injection

在搜尋的地方打上payload
<form method="GET">Username: <input type="text" name="username" value="" /> <br />Password: <input type="password" name="passwd" value="" /> <br /><input type="submit" name="submit" value="login" /></form>
發現html會被執行
image3
image4

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;