当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017243

漏洞标题:QQ企业邮箱存储型XSS漏洞

相关厂商:腾讯邮箱

漏洞作者: secr

提交时间:2013-01-12 19:33

修复时间:2013-02-26 19:33

公开时间:2013-02-26 19:33

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-02-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

存储型XSS漏洞

详细说明:

发邮件插入代码
只针对IE6有效的xss,把style里面的expression换成全角字符。

<div style="x:expression(alert(1))">IE6</div>


cccc.jpg


漏洞证明:

11111.jpg

修复方案:

过滤。

版权声明:转载请注明来源 secr@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-01-13 12:48 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    老夫昨日夜观天象,极北方向企鹅星忽明忽暗,遂开天眼一看,只见一朵切糕状乌云冉冉升起,天狼星移位,不日必有大事发生。坐等腾讯妹子围观。。。

  2. 2013-01-13 16:11 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    难道楼上通晓天人感应乎?

  3. 2013-01-13 17:10 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。发现最近是不是都是故意的诶,腾讯微博 qq邮箱都不去提交厂商腾讯,都是单独提交出来。。。

  4. 2013-01-14 09:12 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @px1624 见wooyun的help部分 我们会和业务部门建立联系

  5. 2013-01-15 00:31 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @xsser 也对,无视安全部门了,直接找业务部门,安全部门太小气了、、、

  6. 2013-01-16 12:55 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:234 | 雙魚座聖鬥士雅柏菲卡)

    @px1624 不是小气 是傲气……

  7. 2013-01-18 08:59 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    哎呀呀呀