360网站卫士防跨站功能形同虚设 | wooyun-2014-049161| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-049161

漏洞标题：360网站卫士防跨站功能形同虚设

漏洞作者： mramydnei

提交时间：2014-01-17 15:41

修复时间：2014-01-17 17:16

公开时间：2014-01-17 17:16

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-01-17：细节已通知厂商并且等待厂商处理中
2014-01-17：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

根据360打的广告
http://wooyun.org/bugs/wooyun-2010-049051
体验了一下完整版

详细说明：

先来张图，证明一下这个站在用你们的“加速”服务

再附上测试页面的PHP源代码，以式没有猫腻：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>360webscan</title>
</head>
<body>
<?php 
$str = $_GET["xss"];
echo $str;
?>
</body>
</html>

漏洞证明：

修复方案：

如果要考虑性能和简单性，不建议修复。

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-01-17 17:16

厂商回复：

感谢关注和反馈，该问题为360网站卫士防护功能设计不全所致，属于产品BUG，现已修复。

漏洞评价：

2014-01-17 15:50 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

还是我 M老师叼，360太渣了！哈哈
2014-01-17 15:51 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

网络层比较难防止这些能够大部分防止就好了
2014-01-17 15:54 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

目测会火，前排留言
2014-01-17 16:02 | 静默 ( 路人 | Rank:8 漏洞数:6 | 安全小白)

m........
2014-01-17 16:09 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者，关注web安全。)

你是最棒的！
2014-01-17 16:25 | Coner ( 路人 | Rank:3 漏洞数:1 )

哈哈哈
2014-01-17 16:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

牛逼啊
2014-01-17 16:43 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

无忽略已修复测试站点新版已修复已通知合作方无影响厂商忽略已从其他渠道获知
2014-01-17 16:52 | s3cur1ty ( 普通白帽子 | Rank:174 漏洞数:12 | s3cur1ty is s3cur1ty!)

其实现在很多waf是因为考虑到不会影响到业务才会放宽限制，再就是能防住有效攻击即可，如果仅仅是alert一个字符串的话那也没什么用
2014-01-17 17:55 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

感谢关注和反馈，该问题为360网站卫士防护功能设计不全所致，属于产品BUG，现已修复。笑死我了诶，哈哈哈哈哈
2014-01-17 18:14 | 笔墨 ( 实习白帽子 | Rank:75 漏洞数:20 | 瘦子)

M哥好样的！
2014-01-17 19:03 | 静默 ( 路人 | Rank:8 漏洞数:6 | 安全小白)

M。。嘻嘻嘻。。顶你，同笔墨+10086

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-049161

漏洞标题：360网站卫士防跨站功能形同虚设

相关厂商：奇虎360

漏洞作者： mramydnei

提交时间：2014-01-17 15:41

修复时间：2014-01-17 17:16

公开时间：2014-01-17 17:16

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-049161

漏洞标题：360网站卫士防跨站功能形同虚设

相关厂商：奇虎360

漏洞作者： mramydnei

提交时间：2014-01-17 15:41

修复时间：2014-01-17 17:16

公开时间：2014-01-17 17:16

漏洞类型：xss跨站脚本攻击

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-049161"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mramydnei@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：