漏洞概要
关注数(24)
关注此漏洞
漏洞标题:打PP第二弹:QQ邮箱存储型跨站
相关厂商:腾讯
漏洞作者: 已撸
提交时间:2012-12-18 12:46
修复时间:2012-12-23 12:46
公开时间:2012-12-23 12:46
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-12-18: 细节已通知厂商并且等待厂商处理中
2012-12-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
通杀IE,可以蠕动一下!
详细说明:
木有过滤XML代码,为什么呢?
qq.vml代码:
需要注意的是:第一次给陌生人发邮件,会过滤掉behavior:url(#default#vml),利用得先发一封邮件,等用户回复之后,再发送跨站邮件即可跨站成功!
漏洞证明:
修复方案:
版权声明:转载请注明来源 已撸@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-12-23 12:46
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2012-12-18 13:29 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2012-12-18 14:10 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-18 15:19 |
1ee ( 普通白帽子 | Rank:105 漏洞数:14 | 看书中....)
-
2012-12-18 20:20 |
kookxiang ( 路人 | Rank:28 漏洞数:6 | 苦逼PHP程序猿…)
-
2012-12-18 22:09 |
( 实习白帽子 | Rank:76 漏洞数:14 )
-
2012-12-19 01:05 |
Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
-
2012-12-19 08:22 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2012-12-19 09:05 |
偶尔透透气 ( 路人 | Rank:6 漏洞数:1 | 常常潜潜水,偶尔透透气.)
-
2012-12-19 09:11 |
已撸 ( 路人 | Rank:0 漏洞数:2 | )
ie8下,qq邮箱用expression是不成功的,所以你目测错了
-
2012-12-19 09:28 |
偶尔透透气 ( 路人 | Rank:6 漏洞数:1 | 常常潜潜水,偶尔透透气.)
-
2012-12-22 12:44 |
( 实习白帽子 | Rank:76 漏洞数:14 )
-
2012-12-24 08:53 |
Finger 
( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)
@Blackeagle @鬼魅羊羔 他是有名字的 只不过还是利用Unicode控制字符
