当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042657

漏洞标题:企业QQ企业空间存储型xss漏洞(获取任何客户端登陆的qq帐号)

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2013-11-12 10:29

修复时间:2013-11-13 15:13

公开时间:2013-11-13 15:13

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-12: 细节已通知厂商并且等待厂商处理中
2013-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

企业qq http://800010101.114.qq.com
授权企业用户可以提交js代码 导致客户端用户qq帐号泄露

详细说明:

提交js代码可以利用

ActiveXObject("SSOAxCtrlForPTLogin.SSOForPTLogin2")


获取任何客户端登陆的qq帐号

漏洞证明:

QQ截图20131112102003.png

修复方案:

验证用户提交的信息安全性 阻止js代码的提交

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-13 15:13

厂商回复:

感谢反馈我司业务漏洞,但经过确认, 暂未发现洞主所述的问题,因此暂不处理,如您有进一步发现,请及时与我们联系。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-12 11:57 | nauscript ( 普通白帽子 | Rank:291 漏洞数:57 | 我淫荡啊我淫荡)

    神奇的路人甲。。。。

  2. 2013-11-12 12:33 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    描述侧露了

  3. 2013-11-12 12:42 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!

  4. 2013-11-12 13:03 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    对不起我不是楼上小号

  5. 2013-11-12 13:10 | nauscript ( 普通白帽子 | Rank:291 漏洞数:57 | 我淫荡啊我淫荡)

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!这个第一个小号 楼下继续

  6. 2013-11-12 13:17 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    对不起我不是楼上小号

  7. 2013-11-12 13:38 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!这个第二个小号 楼下继续

  8. 2013-11-12 13:42 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    对不起我不是楼上小号

  9. 2013-11-12 14:11 | 小土豆 ( 普通白帽子 | Rank:129 漏洞数:23 )

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!这个第二个小号 楼下继续

  10. 2013-11-12 14:37 | rootnmxx ( 路人 | Rank:5 漏洞数:1 )

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!这个第二个小号 楼下继续

  11. 2013-11-12 14:59 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    对不起楼上都不是我的小号 我换个号 楼主等一下

  12. 2013-11-12 15:05 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    对不起我居然是小号,我换好了

  13. 2013-11-13 10:19 | 雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)

    最神奇的一群人,智慧低调又内敛,俗称马甲,打酱油的,不明真相的------菜霸?

  14. 2013-11-13 17:25 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!这个第二个小号 楼下继续

  15. 2013-11-14 09:54 | 核攻击 ( 实习白帽子 | Rank:35 漏洞数:7 | 统治全球,奴役全人类!毁灭任何胆敢阻拦的...)

    忽略?

  16. 2013-11-14 11:06 | 再见江南 ( 路人 | Rank:4 漏洞数:2 | 维护世界和平)

    老板花那么多钱就是让你买个企业QQ去测试XSS的?骚年,下面全部是我的小号,你太年轻了,不信我换个号给你看看!这才是我第二个小号 楼下继续

  17. 2013-11-18 15:49 | 58同城(乌云厂商)

    居然忽略了 腾讯好蛋疼 神奇路人甲 求交流!求联系!

  18. 2013-11-18 16:30 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @58同城 我们是不会扔下一个战友的!你就死了这条心吧!中国女兵!永不言败!