当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038614

漏洞标题:腾讯某站储存型xss

相关厂商:腾讯

漏洞作者: M4sk

提交时间:2013-09-30 15:19

修复时间:2013-10-09 18:53

公开时间:2013-10-09 18:53

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-30: 细节已通知厂商并且等待厂商处理中
2013-10-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT 我知道你会忽略的~?

详细说明:

出现问题的站点
http://bbs.qrobot.qq.com
在发帖处的flash 里插入构造好的xss代码
http://1.com\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029\u003e/1.swf

1.jpg

2.jpg


可以通过审核吗?不知道为什么我每次都在后面说这句话 - -

漏洞证明:

2.jpg

修复方案:

关闭 flash 或者 过滤 求礼物啊~

版权声明:转载请注明来源 M4sk@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-09 18:53

厂商回复:

漏洞Rank:5 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-30 15:27 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    最新活动:每提交一个TX漏洞,你就会获得肉肉电话号码的其中一位数字,只要提交11个以上,你就可以集齐全部的手机号码,就可以给肉肉打电话啦!

  2. 2013-09-30 15:28 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @鬼魅羊羔 真的?

  3. 2013-09-30 15:30 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @mango 真的。凑齐6个,还送@肉肉半身照一枚,集齐12个,除了送肉肉电话号码和全身照以外,还会透漏@肉肉的男盆友究竟是不是@xsser,这个重大秘密。。机会难得哟。。。

  4. 2013-09-30 15:44 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @鬼魅羊羔 ....

  5. 2013-09-30 15:44 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    @鬼魅羊羔 求活动详情,求细节

  6. 2013-09-30 17:22 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    @鬼魅羊羔 10WB出售肉肉手机号

  7. 2013-09-30 17:24 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    知道8-9位应该就可以开始爆破了。。

  8. 2013-09-30 19:07 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    话说肉肉是谁?

  9. 2013-09-30 19:10 | XsL ( 路人 | Rank:7 漏洞数:4 )

    肉肉是谁@鬼魅羊羔

  10. 2013-09-30 19:28 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @BadCat @XsL 乌云头号美女黑客,毕业于成都XX大学,擅长逆向、渗透测试,兼乌云小秘书,@xsser的绯闻女友。肤白貌美气质佳,会渗透来会杀马。。

  11. 2013-09-30 19:34 | XsL ( 路人 | Rank:7 漏洞数:4 )

    @鬼魅羔羊 。。。。好吧。。。碉堡了,她有wooyunId吗

  12. 2013-09-30 19:43 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @XsL 有,就叫肉肉

  13. 2013-09-30 19:51 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @鬼魅羊羔 求妹子QQ 和半身照

  14. 2013-09-30 19:54 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    @鬼魅羊羔 是这个么?/whitehat_detail.php?whitehat=%E8%82%89%E8%82%89

  15. 2013-09-30 20:05 | XsL ( 路人 | Rank:7 漏洞数:4 )

    @鬼魅羊羔。xsser不敢抢,wooyun还有妹子吗~

  16. 2013-09-30 23:13 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @鬼魅羊羔 。、。。第一位不就是1么。。我会告诉你我前天和肉肉一起吃饭了么。。

  17. 2013-09-30 23:16 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    肉肉可以吃么?

  18. 2013-10-01 01:02 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @XsL 还有妹子,梧桐雨是一个。。那个紫梦阡不知道是不是。。哈哈

  19. 2013-10-01 21:38 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

    @肉肉 为神马我没有?(^V^)

  20. 2013-10-02 03:16 | Spid3r ( 实习白帽子 | Rank:50 漏洞数:10 | 常年撒网打鱼.)

    @鬼魅羊羔 求爆料。。

  21. 2013-10-02 03:16 | Spid3r ( 实习白帽子 | Rank:50 漏洞数:10 | 常年撒网打鱼.)

    @px1624 基佬 你好猥琐。。 别把肉肉萌妹子给吓到了。。

  22. 2013-10-02 10:15 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @腾讯 目测会忽略?

  23. 2013-10-02 11:34 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Spid3r 哈哈~

  24. 2013-10-05 08:31 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    你们在做什么。。。。@鬼魅羊羔

  25. 2013-10-05 09:10 | x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )

    @鬼魅羊羔 @mango @小贱人 @浅蓝 你们真无聊 老拿我家@肉肉说事干嘛?我家妹子不是来乌云活跃气氛的好吗?你们这样 会影响我们得生活

  26. 2013-10-05 15:11 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    最新活动:每提交一个TX漏洞,你就会获得肉肉电话号码的其中一位数字,只要提交11个以上,你就可以集齐全部的手机号码,就可以给肉肉打电话啦!

  27. 2013-10-05 15:19 | x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )

    @肉肉 我鄙视你

  28. 2013-10-09 18:58 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @肉肉 真的么?

  29. 2013-10-09 19:49 | BadCat ( 实习白帽子 | Rank:81 漏洞数:21 | 悲剧的我什么都不会)

    话说....忽略了...

  30. 2013-10-09 20:46 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @xsser 啊。。。真的吧

  31. 2013-10-09 22:12 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @xsser @肉肉 额,忽略了,DZX2.5的通用漏洞

  32. 2013-10-10 09:02 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    138******00

  33. 2013-10-10 10:19 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    13874091740

  34. 2013-10-10 10:33 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    @M4sk 最后两位是00吧!

  35. 2013-10-10 10:59 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    不信算了 ^_^ 哈哈

  36. 2013-10-10 11:11 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    湖南 岳阳 这个归属地都不对

  37. 2013-10-10 11:15 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    你好坑啊 这都看不懂138气死你就要气死你 哈哈

  38. 2013-10-10 11:47 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    @M4sk 居然是这呀!害我猜半天你怎么社工到的!

  39. 2013-10-10 12:14 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @lucky 哈哈