漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯某站储存型xss可打cookie(流量大的网站处)
相关厂商:腾讯
提交时间:2013-09-30 13:10
修复时间:2013-09-30 15:38
公开时间:2013-09-30 15:38
漏洞类型:xss跨站脚本攻击
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-09-30: 细节已通知厂商并且等待厂商处理中
2013-09-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
详细说明:
问题出现在 腾讯视频 评论里面
随便找个视频评论http://v.qq.com/p/tv/zt/ywaq/index.html
可打用户cookie
貌似是储存的xss
出现问题的应该是评论组件
http://www.qq.com/coral/coralCommentDome.htm
不知道能不能审核通过呢
漏洞证明:
修复方案:
版权声明:转载请注明来源 M4sk@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-09-30 15:38
厂商回复:
非常感谢您的报告。这个问题我们经过评估,暂未发现可以对其他用户产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。
最新状态:
暂无
漏洞评价:
评论
-
2013-09-30 14:27 |
iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )
沃茨奥,前排沙发。helen在qq空间发了一个。目测应该是这个,求洞主私信。
-
2013-09-30 14:29 |
iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )
我和我的小伙伴都震精了!咦?我的小伙伴呢。。。沃茨奥,跑去和@xsser 做朋友去了。@xsser 我们也做朋友好不好!
-
2013-09-30 14:32 |
Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)
-
2013-09-30 14:35 |
iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )
一个url,点开就打到cookie,为啥呢么我感觉是URL加密 其实就是个反射。。。
-
2013-09-30 15:22 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
@iiiiiiiii 腾讯反射,用来坑人,最安全的方法就是随便找个shell,仿造一个页面,然后将XSS反射写到页面中,然后微博上一发,发到微博后,神马连接,都会变,隐蔽性强,起一个性感的标题,谁点谁中。。
-
2013-09-30 19:50 |
M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)
-
2013-10-02 18:33 |
SuperSyt ( 路人 | Rank:4 漏洞数:6 | 90后苦逼程序员)
@M4sk 这个我早就发现了 ,他在这个评论插件的确在刚刚发布的时候存在,但是你过后刷新根本没有任何反映 .
-
2013-10-03 18:18 |
iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )
-
2013-10-04 10:12 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@iiiiiiiii 这个貌似在评论哪里是自动执行的。。 好像没危害,另外不要提起Helen好吗。。无语
