漏洞概要
关注数(24)
关注此漏洞
漏洞标题:打PP第一弹:QQ邮箱存储型跨站分析与技巧
相关厂商:腾讯
漏洞作者: 已撸
提交时间:2012-12-18 12:11
修复时间:2012-12-23 12:12
公开时间:2012-12-23 12:12
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-12-18: 细节已通知厂商并且等待厂商处理中
2012-12-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
只能归结于过滤不严格!
详细说明:
上面是利用代码,只能针对IE6-7,QQ邮箱在处理\01的时候,会将其过滤为空,而\28为(的十六进制编码,刚好可以构造出关键字:expression,更奇的是把常用的JS函数也过滤了,木办法,来个中文怎么样?
漏洞证明:
修复方案:
版权声明:转载请注明来源 已撸@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-12-23 12:12
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2012-12-18 12:18 |
小胖胖要减肥 
( 普通白帽子 | Rank:686 漏洞数:101 )
-
2012-12-18 12:20 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-12-18 12:24 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2012-12-18 12:27 |
已撸 ( 路人 | Rank:0 漏洞数:2 | )
-
2012-12-18 12:40 |
已撸 ( 路人 | Rank:0 漏洞数:2 | )
-
2012-12-18 12:41 |
qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )
-
2012-12-18 12:47 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-12-18 12:52 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2012-12-18 13:25 |
Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)
-
2012-12-18 14:09 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-18 15:32 |
Finger ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)
-
2012-12-18 15:34 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@Finger 我真不是马甲。。你见过不会连载的马甲吗、?
-
2012-12-18 15:40 |
Finger ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)
-
2012-12-18 16:29 |
Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)
@鬼魅羊羔 如果你爱她,请帮她停掉大姨妈 亲 同志没有大姨妈怎么办...
-
2012-12-18 16:35 |
小囧 ( 普通白帽子 | Rank:396 漏洞数:62 | 在通往牛B的路上一路狂奔)
-
2012-12-18 17:23 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-18 19:23 |
txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)
-
2012-12-18 21:41 |
黑匣子 ( 实习白帽子 | Rank:64 漏洞数:17 | 我是一个有思想的菜鸟!)
