漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯QQ聊天框XSS
相关厂商:腾讯
提交时间:2013-06-05 17:01
修复时间:2013-08-31 17:02
公开时间:2013-08-31 17:02
漏洞类型:设计错误/逻辑缺陷
危害等级:低
自评Rank:1
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-06-05: 细节已通知厂商并且等待厂商处理中
2013-06-06: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2013-07-31: 细节向核心白帽子及相关领域专家公开
2013-08-10: 细节向普通白帽子公开
2013-08-20: 细节向实习白帽子公开
2013-08-31: 细节向公众公开
简要描述:
腾讯QQ聊天框XSS
详细说明:
QQ消息框把
这样的地址解析成点击直接在右侧小框中显示,导致soso.com下的XSS可直接影响客户端.
漏洞证明:
[b]绕过目录限制[/b]
QQ解析的是http://www.soso.com/cs.q?w=xss,但找到的xss是没有cs.q这个目录的.
尝试绕过:
http://www.soso.com/cs.q/../ 不解析
http://www.soso.com/cs.q/%2e%2e/ 绕过
[b]发消息poc[/b]
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-08-31 17:02
厂商回复:
经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进。
最新状态:
2013-06-06:由于之前POC的问题,导致无法重现漏洞,后联系洞主重新测试后,发现确实存在此问题,我们已同步业务进行处理。非常感谢洞主积极协助,在此我们也表示歉意。由于乌云上的漏洞忽略后无法更改状态,请乌云管理员帮忙更改下状态,把rank补给洞主。我们也给乌云平台提出一点用户体验上的小建议:洞主报告漏洞后,厂商很难与洞主即时沟通(私信交互比较慢),希望乌云能够提供一个厂商与洞主即时沟通的渠道。
漏洞评价:
评论
-
2013-06-05 17:03 |
Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)
-
2013-06-05 17:04 |
0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)
-
2013-06-05 17:06 |
小色 ( 路人 | Rank:0 漏洞数:1 | 撸的一手好管)
-
2013-06-05 17:06 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-06-05 17:09 |
孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)
-
2013-06-05 17:09 |
LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)
-
2013-06-05 17:11 |
bystander ( 路人 | Rank:6 漏洞数:2 | 非专业酱油党)
-
2013-06-05 17:13 |
ckaexn ( 路人 | Rank:17 漏洞数:2 | ~)
-
2013-06-05 17:16 |
mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)
-
2013-06-05 17:17 |
呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)
-
2013-06-05 17:35 |
gainover 
( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
-
2013-06-05 17:42 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-06-05 17:45 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
-
2013-06-05 17:55 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-06-05 18:00 |
鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)
-
2013-06-05 18:05 |
Demon ( 普通白帽子 | Rank:121 漏洞数:14 | You are my dream)
-
2013-06-05 18:11 |
p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)
-
2013-06-05 18:12 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2013-06-05 18:14 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
2013-06-05 18:18 |
Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)
-
2013-06-05 18:20 |
Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)
-
2013-06-05 18:20 |
blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)
-
2013-06-05 18:35 |
p.z ( 普通白帽子 | Rank:411 漏洞数:40 )
-
2013-06-05 18:47 |
HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)
-
2013-06-05 18:53 |
Master ( 路人 | Rank:29 漏洞数:10 )
-
2013-06-05 19:11 |
封印师 ( 路人 | Rank:4 漏洞数:3 | 我是小彩笔来的。...(。•ˇ‸ˇ•。) ...)
-
2013-06-05 19:31 |
txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)
-
2013-06-05 19:43 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2013-06-05 19:53 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-06-05 19:58 |
脚本小伙 ( 实习白帽子 | Rank:52 漏洞数:15 | 小书童)
-
2013-06-05 20:00 |
他撸我也撸 ( 路人 | Rank:20 漏洞数:1 | )
-
2013-06-05 20:00 |
liutao0532 ( 路人 | Rank:6 漏洞数:7 | b.b.b)
-
2013-06-05 20:15 |
基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)
-
2013-06-05 21:18 |
sea ( 路人 | Rank:20 漏洞数:5 | 好人)
-
2013-06-05 21:22 |
godlong ( 实习白帽子 | Rank:68 漏洞数:7 | 戴着白色帽子的白帽子...)
-
2013-06-05 22:00 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
-
2013-06-05 22:29 |
二哥三摆手 ( 路人 | Rank:18 漏洞数:3 | 淡出江湖,专心学习!)
-
2013-06-05 22:40 |
西施店De包子 ( 路人 | Rank:4 漏洞数:1 | 一介屌民,不值一提)
-
2013-06-05 23:04 |
budblack ( 路人 | Rank:2 漏洞数:2 )
-
2013-06-05 23:18 |
DragonEgg ( 实习白帽子 | Rank:75 漏洞数:18 | 冷漠无情的绅士,温柔善良的坏蛋。)
-
2013-06-05 23:47 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2013-06-06 01:13 |
Damo ( 普通白帽子 | Rank:209 漏洞数:31 | 我只是喜欢看加菲猫而已ส็็็็็็็็...)
V55555555555555555555555555555555555555
-
2013-06-06 03:06 |
叶问 ( 路人 | Rank:4 漏洞数:3 | 华师 QQ695033480)
-
2013-06-06 03:07 |
0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)
-
2013-06-06 03:10 |
叶问 ( 路人 | Rank:4 漏洞数:3 | 华师 QQ695033480)
-
2013-06-06 04:12 |
毒药 ( 路人 | Rank:13 漏洞数:4 | sb)
-
2013-06-06 07:18 |
邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )
-
2013-06-06 08:06 |
性感的蛐蛐 ( 路人 | Rank:0 漏洞数:2 | 少年,母猪喊你回家拱地!)
-
2013-06-06 08:35 |
包包 ( 路人 | Rank:6 漏洞数:5 | 我是菜鸟,我怕谁?小弟新来,望大牛多多包...)
-
2013-06-06 08:53 |
Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)
-
2013-06-06 09:00 |
MEng ( 路人 | Rank:1 漏洞数:2 | 刚接触这个领域、来学习了)
-
2013-06-06 09:07 |
Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)
-
2013-06-06 09:25 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-06-06 10:06 |
西施店De包子 ( 路人 | Rank:4 漏洞数:1 | 一介屌民,不值一提)
-
2013-06-06 11:02 |
momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)
-
2013-06-06 11:04 |
LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)
-
2013-06-06 11:39 |
Tostor ( 路人 | Rank:26 漏洞数:3 | ..)
-
2013-06-06 11:55 |
etcat ( 普通白帽子 | Rank:149 漏洞数:22 | 0101010101001010101010101010100101010101...)
-
2013-06-06 11:59 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
虽然忽略了,没有公开,就说明这个并不是完全没有直接影响,有一定的利用空间,大家坐等空开吧,不管怎样,得按照乌云的规矩来,贸然公开,不好。。
-
2013-06-06 12:15 |
Sogili ( 普通白帽子 | Rank:129 漏洞数:27 )
-
2013-06-06 12:17 |
堕络 ( 路人 | Rank:20 漏洞数:2 | 一个新手菜鸟 求关爱)
-
2013-06-06 12:21 |
Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)
-
2013-06-06 12:40 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-06-06 12:45 |
堕络 ( 路人 | Rank:20 漏洞数:2 | 一个新手菜鸟 求关爱)
-
2013-06-06 13:23 |
猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)
-
2013-06-06 13:30 |
Sogili ( 普通白帽子 | Rank:129 漏洞数:27 )
-
2013-06-06 13:33 |
网络小新 ( 路人 | Rank:0 漏洞数:2 | 职业菜鸟,长期沉浸在信息安全的海洋中··...)
-
2013-06-06 14:02 |
xs0x00 ( 路人 | Rank:2 漏洞数:2 | 闭关中...)
-
2013-06-06 16:16 |
冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )
-
2013-06-06 16:40 |
冷静 ( 路人 | Rank:3 漏洞数:2 )
-
2013-06-06 16:47 |
niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)
-
2013-06-06 17:07 |
by china ( 路人 | Rank:3 漏洞数:2 )
-
2013-06-06 17:10 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
QQ看来算通用软件那类。不过洞主给力啊,难得腾讯打字那么多!!!!还不是复制!
-
2013-06-06 17:15 |
小泽 ( 实习白帽子 | Rank:47 漏洞数:21 | I Love my Country)
-
2013-06-06 17:16 |
小泽 ( 实习白帽子 | Rank:47 漏洞数:21 | I Love my Country)
-
2013-06-06 17:23 |
VIP ( 普通白帽子 | Rank:759 漏洞数:100 )
-
2013-06-06 18:07 |
dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])
-
2013-06-06 18:39 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
希望乌云能够提供一个厂商与洞主即时沟通的渠道。。。是说你的企鹅平台么
-
2013-06-06 19:02 |
超人不会飞 ( 实习白帽子 | Rank:85 漏洞数:24 | 好好学习,天天向上!)
-
2013-06-06 19:10 |
Titanium ( 路人 | Rank:0 漏洞数:1 | I am titanium.)
-
2013-06-06 19:25 |
p.z ( 普通白帽子 | Rank:411 漏洞数:40 )
-
2013-06-06 20:36 |
Kuuki ( 普通白帽子 | Rank:158 漏洞数:23 | :P)
-
2013-06-06 21:40 |
Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)
-
2013-06-06 22:28 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@xsser 是不是应该给洞主弄个QQ在线交谈什么的,最好只有核心和漏洞涉及的厂商能看到,省的各种骚扰。。这样也能及时联系到白帽子。。
-
2013-06-07 08:58 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-06-07 10:46 |
safefocus ( 路人 | Rank:16 漏洞数:3 | 关注技术与网络安全)
-
2013-06-07 10:47 |
dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])
@xsser 这个状态是肿么回事,头一回见~~还不变么
-
2013-06-07 11:07 |
屌丝王爷 ( 路人 | Rank:4 漏洞数:4 | 心境随和些,处事淡然些。)
-
2013-06-07 11:08 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@dyun http://www.wooyun.org/prize
-
2013-06-07 16:43 |
叶问 ( 路人 | Rank:4 漏洞数:3 | 华师 QQ695033480)
-
2013-06-08 12:22 |
Cr4zy ( 路人 | Rank:26 漏洞数:5 | 贫民)
-
2013-06-09 00:19 |
寒风絮语 ( 路人 | Rank:0 漏洞数:1 | 批发出售各种神器:轩辕剑,高达,盘古斧,...)
-
2013-06-09 03:23 |
x0ers ( 路人 | Rank:25 漏洞数:4 | 专注计算机:开机关机重启20年。)
-
2013-06-09 18:07 |
帅气凌云 ( 普通白帽子 | Rank:314 漏洞数:60 | 弱点扫描{Www.VulScan.CN} 为网站健康检查...)
-
2013-06-17 05:24 |
廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)
-
2013-06-21 10:17 |
Airbasic ( 实习白帽子 | Rank:33 漏洞数:8 | 不要向我EMAIL发邮件,地址已失效!)
-
2013-06-21 11:51 |
堕络 ( 路人 | Rank:20 漏洞数:2 | 一个新手菜鸟 求关爱)
-
2013-06-23 12:50 |
lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)
-
2013-06-25 23:12 |
猫头鹰 ( 路人 | Rank:29 漏洞数:6 | 不解释)
-
2013-06-27 14:13 |
B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)
-
2013-06-27 23:34 |
好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)
-
2013-07-13 10:22 |
Thanos ( 路人 | Rank:10 漏洞数:2 | 结界)
-
2013-07-13 10:29 |
堕络 ( 路人 | Rank:20 漏洞数:2 | 一个新手菜鸟 求关爱)
-
2013-08-31 17:35 |
78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)
-
2013-08-31 17:37 |
78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)
@xsser →→ 那有有的审核人员不认为是 就不给过 厂商却认为是咧 我这都2个例子这样鸟
-
2014-08-22 18:16 |
香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)
