漏洞概要
关注数(24)
关注此漏洞
漏洞标题:点点网持久型xss漏洞
提交时间:2012-03-19 20:37
修复时间:2012-03-21 13:38
公开时间:2012-03-21 13:38
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-03-19: 细节已通知厂商并且等待厂商处理中
2012-03-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
存在持久形xss漏洞,可导致xss蠕虫。
详细说明:
自定义模版功能中的自定义html或css选项未对添加的html代码进行过滤,可直接添加xss代码。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-03-21 13:38
厂商回复:
多谢WooYun的对点点网安全方面的关心,在我们开放html自定义的时候已经对这方面有所考虑,保证了自定义html里的js不能模拟用户提交数据,对所有的数据提交不仅验证用户的身份(Cookie),还有额外需要跨域的字段去验证提交数据的合法性.
因为有了这样的保护,我们才允许使用js来完成各式各样定制
最新状态:
暂无
漏洞评价:
评论
-
2012-02-29 16:05 |
rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )
-
2012-03-01 12:42 |
WindsDeng ( 路人 | Rank:10 漏洞数:1 | WindsDeng)
-
2012-03-19 23:02 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
-
2012-03-19 23:23 |
水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )
-
2012-03-20 09:13 |
凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)
-
2012-03-21 14:36 |
Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)
-
2012-03-21 16:36 |
CnCxzSec(衰仔) ( 普通白帽子 | Rank:322 漏洞数:32 | Wow~~~)
-
2012-03-29 11:28 |
iceks ( 路人 | Rank:4 漏洞数:1 | 你是我的小呀小苹果~)
-
2012-03-29 11:36 |
YesCK ( 路人 | Rank:10 漏洞数:4 | 90后安全爱好者,喜欢专研技术希望与大家交...)
-
2012-03-29 12:35 |
Gavin ( 路人 | Rank:29 漏洞数:5 | xxoo)
-
2012-04-21 04:42 |
gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
-
2012-05-11 15:54 |
FlyR4nk ( 普通白帽子 | Rank:119 漏洞数:18 )
-
2012-06-24 15:51 |
顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)
-
2012-06-24 15:55 |
also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)
-
2012-06-24 17:59 |
少帅 ( 实习白帽子 | Rank:59 漏洞数:14 )
-
2012-06-29 13:08 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2012-06-29 17:34 |
顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)
-
2012-07-01 06:43 |
imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )
-
2012-07-01 19:12 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
