漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯浏览器XSS
相关厂商:腾讯
漏洞作者: 神刀
提交时间:2011-05-24 23:20
修复时间:2011-05-25 09:05
公开时间:2011-05-25 09:05
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2011-05-24: 细节已通知厂商并且等待厂商处理中
2011-05-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
这是一个神奇的跨站,TX你懂的。
详细说明:
1.正常打开QQ浏览器最新版
2.在输入框直接输入跨站代码,弹窗
漏洞证明:
输入框输入:
<script>alert(/shendao/)</script>
修复方案:
版权声明:转载请注明来源 神刀@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-05-25 09:05
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
2011-05-25:理解上出现了误会。我们再次测试,发现确实有问题。感谢神刀。
漏洞评价:
评论
-
2011-05-25 09:07 |
腾讯(乌云厂商)
呃,非常感谢你的通报,我们非常感谢你对我们公司产品的帮助。不过这个-_-!! 我建议你报给微软:“在ie浏览器里输入javasript:alert()”存在XSS。当然,还有firefox等等等等
-
2011-05-25 11:40 |
神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)
关键是IE那些要回车才显示,你这个贴进去代码自动就弹出来了。
-
2011-05-25 12:46 |
rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )
file:///C:/Program%20Files/Tencent/QQBrowser/5.1.6829.201/extensions/%7B80944EE7-D5ED-46f6-86DF-53FCE8B945AB%7D/1.2.3.4/aero/addressList.html####***###本地DOM XSS一枚 可以远程读取本地文件 这都被忽略了 - -
-
2011-05-25 13:27 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
而且是输入<script>alert()</script>啊 还是javascript:alert()啊
-
2011-05-26 10:41 |
蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)
贴进去代码自动就弹出..介个,应该是浏览器的自动下拉菜单,设计缺陷 。。。。MU过虑。。。
-
2011-05-26 16:07 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
file:///C:/Program%20Files/Tencent/QQBrowser/5.1.6829.201/extensions/%7B80944EE7-D5ED-46f6-86DF-53FCE8B945AB%7D/1.2.3.4/aero/addressList.html####***### 本地DOM XSS一枚 可以远程读取本地文件 这都被忽略了 - - ------------------------------------------------------------研究下怎么让用户点击就中
-
2011-07-11 15:40 |
晴天小铸 ( 普通白帽子 | Rank:106 漏洞数:31 | 退出黑客界的纠纷,低调求发展。)
-
2013-03-05 15:59 |
lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)
