当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017121

漏洞标题:[百度XSS专场]百度房产论坛首页持久XSS

相关厂商:百度

漏洞作者: 沦沦

提交时间:2013-01-09 15:07

修复时间:2013-02-23 15:07

公开时间:2013-02-23 15:07

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-09: 细节已通知厂商并且等待厂商处理中
2013-01-10: 厂商已经确认,细节仅向厂商公开
2013-01-20: 细节向核心白帽子及相关领域专家公开
2013-01-30: 细节向普通白帽子公开
2013-02-09: 细节向实习白帽子公开
2013-02-23: 细节向公众公开

简要描述:

百度房产论坛首页持久XSS

详细说明:

http://bbs.leju.com/bj/bbs/
打开论坛就中招

BDL3)4F6[_KYDVES9}}NJZT.jpg


没过滤啊
一打开论坛就中招了 不用点进帖子什么的..

漏洞证明:

2.jpg

修复方案:

各种过滤

版权声明:转载请注明来源 沦沦@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-01-10 10:32

厂商回复:

感谢你对百度安全的关注,已安排修复。第三方合作社区,非百度域名,故给rank 5。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-09 15:12 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    坦白讲 百度缺乏用户体系 所以xss影响相对来说还小

  2. 2013-01-09 15:43 | 小弟 ( 路人 | Rank:10 漏洞数:3 | 楼主好人!下辈子美利坚...)

    又来个连载的!

  3. 2013-01-09 15:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    看剑总多坦白。。。。。

  4. 2013-01-09 16:41 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @鬼魅羊羔 贱心就是从百度出来的人 必须了解!

  5. 2013-01-09 16:47 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @xsser 很少剑总出现啊,有个问题:这个洞是有问题,还是没价值~肿么一直没审呢~http://www.wooyun.org/bugs/wooyun-2013-016989/trace/89eb908ce8fababe188eba8ed4971e58

  6. 2013-01-09 16:58 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @xfkxfk 参考我第一条回复啊 其他公司的不更如此咩

  7. 2013-01-09 17:17 | 1ee ( 普通白帽子 | Rank:105 漏洞数:14 | 看书中....)

    沦沦 我来打酱油

  8. 2013-01-09 22:42 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @xsser 这个是以后洞少的时候通过审核?还是直接就给无视了诶。。。

  9. 2013-02-23 15:21 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    @xsser @沦沦 WooYun: 百度储存XSS二-百度乐居论坛首页持久XSS 笑而不语

  10. 2013-02-23 15:52 | Alien ( 路人 | Rank:3 漏洞数:1 | 如果疯狂是一种错误,下一句?)

    坐等连载

  11. 2013-02-23 21:51 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    @数据流 同一个站点啊,晕……。