当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064446

漏洞标题:腾讯QQ群持久xss攻击(可执行js窃取cookie挂马等已经有人利用)

相关厂商:腾讯

漏洞作者: 阿布

提交时间:2014-06-11 10:23

修复时间:2014-06-11 16:12

公开时间:2014-06-11 16:12

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-11: 细节已通知厂商并且等待厂商处理中
2014-06-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

腾讯QQ群xss攻击

详细说明:

在聊天窗口输入带有xss脚本的视频

http://www.tudou.com/programs/view/gh7jvNA-1JM/


QQ截图20140611101142.png


经测试可造成通知中心持久型xss

漏洞证明:

在QQ群发送土豆url
直接xss

修复方案:

版权声明:转载请注明来源 阿布@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-06-11 16:12

厂商回复:

感谢您的反馈,漏洞的发现者Mango先生已第一时间将漏洞反馈给我们知悉。目前漏洞已修复上线,请大家放心使用。

漏洞Rank:14 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2014-06-11 10:53 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    记得挺久之前,@bing 给我说过有人发了群视频,然后cookies被偷的情况。 如果是同一个漏洞的话,那么这个漏洞有可能已经被人利用很有一段时间了。。

  1. 2014-06-11 10:26 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    混rank么?

  2. 2014-06-11 10:26 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    来个测试demo玩玩

  3. 2014-06-11 10:30 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    mac qq不受影响,因为不会预读网页。

  4. 2014-06-11 10:31 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    http://www.tudou.com/programs/view/gh7jvNA-1JM/

  5. 2014-06-11 10:31 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    必定忽略,全天下都知道了

  6. 2014-06-11 10:31 | 雷疯 ( 路人 | Rank:15 漏洞数:4 | 喝酒 泡妞)

    阿布 你真速度

  7. 2014-06-11 10:32 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    原来不及时更新也是个基智的决定

  8. 2014-06-11 10:32 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个严重啊 不知道是不是本地权限 js能干很多事了

  9. 2014-06-11 10:33 | 情逍遥 ( 路人 | Rank:10 漏洞数:3 )

    速度真尼玛快啊

  10. 2014-06-11 10:33 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @wanglaojiu 已试过,已经是404了

  11. 2014-06-11 10:36 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    呵呵

  12. 2014-06-11 10:36 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    是你他妈的发现的吗?那别人的东西有脸发吗?QNMLGB

  13. 2014-06-11 10:36 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    无奈了,群里正在火热地讨论了,不过有人已经向腾讯应急相应中心提供了漏洞详情啊

  14. 2014-06-11 10:37 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @计算姬 链接我们删除了,肯定404

  15. 2014-06-11 10:39 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    呵呵!我在1点就发给TSRC了!我不知道谁泄漏的

  16. 2014-06-11 10:41 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    好蛋疼,一对群都是弹啊弹

  17. 2014-06-11 10:41 | 紫衣大侠 ( 普通白帽子 | Rank:201 漏洞数:21 | 愿结天下有识之士)

    呵呵...

  18. 2014-06-11 10:43 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    妈的。。。360裤带计划也提交了、、。各种不道德。。呵呵

  19. 2014-06-11 10:45 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @M4sk 链接我们删除了,肯定404

  20. 2014-06-11 10:46 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    喷洞主的都是尖刀的吧 哈哈

  21. 2014-06-11 10:46 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    手机QQ不受影响。。

  22. 2014-06-11 10:50 | leir ( 路人 | Rank:0 漏洞数:1 | ???)

    额……这个rank不好拿吧

  23. 2014-06-11 10:50 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    少年,你这是公开挑衅啊!

  24. 2014-06-11 10:51 | .zZ ( 路人 | Rank:5 漏洞数:2 | 向广大白帽子学习!)

    少年,你这是公开挑衅啊!

  25. 2014-06-11 10:51 | Reserved ( 路人 | Rank:5 漏洞数:1 | 小菜一枚)

    忽略吧 是尖刀发现滴 哈哈哈哈哈哈

  26. 2014-06-11 10:52 | 残雪 ( 实习白帽子 | Rank:34 漏洞数:7 | 屌丝一枚擅长扯淡)

    少年干的漂亮啊哈哈

  27. 2014-06-11 10:53 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    记得挺久之前,@bing 给我说过有人发了群视频,然后cookies被偷的情况。 如果是同一个漏洞的话,那么这个漏洞有可能已经被人利用很有一段时间了。。

  28. 2014-06-11 10:53 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    对于这种人,无语……

  29. 2014-06-11 10:53 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    http://www.ijiandao.com/safe/cto/6203.html呵呵。。。自己看吧。少年。人家半夜挖掘。你呢!

  30. 2014-06-11 10:53 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

    洞主应该说明是发现有人利用此漏洞进行攻击,还是自己发现了这个漏洞。

  31. 2014-06-11 10:54 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @gainover 那为嘛当时不提交呢?

  32. 2014-06-11 10:54 | parisy4o ( 路人 | Rank:4 漏洞数:3 | Null)

    主要是优酷的问题 QQ预读那里新版本应该过滤下。

  33. 2014-06-11 10:54 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    提交速度挺快啊

  34. 2014-06-11 10:54 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @3King 大神最近何去?

  35. 2014-06-11 10:54 | foxhack ( 路人 | Rank:24 漏洞数:4 | 低调求发展)

    太牛逼了

  36. 2014-06-11 10:54 | parisy4o ( 路人 | Rank:4 漏洞数:3 | Null)

    土豆 说错了。。。。。

  37. 2014-06-11 10:55 | 1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)

    我想说句 发现了 别人提交了 出来一群人鄙视人家 我想问一句 你发现了 你为什么不提交恩? 别人提交了 你还吐槽 人家没说是他发现 人家只说 他知道有这么个漏洞 发现真心逗 你要是自己知道 你就别流露出来啊 自己人装B流出来了 被人提交了还怪别人了 真心厉害

  38. 2014-06-11 10:55 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @3King 对,是自己发现呢还是发现有人利用呢,如果你说发现有人利用绝B不会喷洞猪!

  39. 2014-06-11 10:55 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    去尼玛的,是你发现的么?我草,这尼玛啥人都有。为了点rank,脸不要了呗?

  40. 2014-06-11 10:55 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)

    楼主你火了!

  41. 2014-06-11 10:57 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @1cefish sb 我凌晨就提交了

  42. 2014-06-11 10:59 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @1cefish 不知道内情,别要乱说,尖刀的兄弟们可不是盖的

  43. 2014-06-11 10:59 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    后排保护adc。。

  44. 2014-06-11 10:59 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @Coody 他当时说了有这么个情况,但是他并不知道问题出在哪的~ 看到这个漏洞,就联想到他当时说的这个了。

  45. 2014-06-11 11:00 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)

    国际版的QQ可以无视!

  46. 2014-06-11 11:02 | 阿布 ( 路人 | Rank:16 漏洞数:5 )

    我也没说我发现的阿。管理帮我删除了吧!

  47. 2014-06-11 11:02 | 1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)

    我只想说 你提交了 就提交了 一个洞只许一个人提交么? 人家提交洞不管目的如何 别人没说自己是原创者 人家只是提交个洞而已 不想就出来一群喷子 静下心好好想想 一个漏洞别人提交了 你们这么说人家 不知道是什么目的 是为了显示自己厉害?

  48. 2014-06-11 11:02 | 锅巴 ( 路人 | Rank:2 漏洞数:1 | 学生而已)

    阿布你无论是在WE还是在乌云都很好体现了你的智商嘛,诸葛布

  49. 2014-06-11 11:02 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    阿布 号被盗了

  50. 2014-06-11 11:03 | 梦琳 ( 实习白帽子 | Rank:69 漏洞数:9 | 追寻梦的足迹!)

    这也混不了几个rank的,洞不要藏着,大家一起玩多好呀

  51. 2014-06-11 11:05 | misssky ( 普通白帽子 | Rank:148 漏洞数:28 | 没什么)

    是你他妈的发现的吗?那别人的东西有脸发吗?QNMLGB

  52. 2014-06-11 11:05 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    @1cefish @疯子 和谐。。

  53. 2014-06-11 11:06 | 1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)

    @疯子 真心不想和一群没长大的孩子一般见识 不懂礼 有意思?

  54. 2014-06-11 11:07 | 耐小心 ( 路人 | Rank:12 漏洞数:5 | 噗 我是新手 新手求罩)

    Mark

  55. 2014-06-11 11:07 | 兔兔侠 ( 路人 | Rank:2 漏洞数:1 )

    Wqnmlgb是你发现的吗?你是作者吗?

  56. 2014-06-11 11:08 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    这是个在某些功能设计时,很容易出现的安全问题了,类似某个漏洞类型.通过qq挂马还是很爽的...

  57. 2014-06-11 11:09 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @1cefish 对 我95的 我没见识 可是这种发到乌云 发到360 各种发 公开的挑衅 你觉得洞主合适吗?

  58. 2014-06-11 11:09 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    你这傻X还好意思提交,这是你原创的吗

  59. 2014-06-11 11:11 | 1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)

    @疯子 貌似阿布就发在乌云了吧 人家开始发的时候 是不知道乌云有人发了 觉得乌云没人发 人家才发的 现在人家正在找管理员删了 你又知道? 别开嘴就喷人 不要把别人想的那么坏

  60. 2014-06-11 11:12 | 360安全卫士 ( 路人 | Rank:10 漏洞数:1 | 360安全卫士就是好)

    有漏洞,来乌云

  61. 2014-06-11 11:13 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    @xsser无语了...这些留言不管吗?

  62. 2014-06-11 11:13 | 阿布 ( 路人 | Rank:16 漏洞数:5 )

    @Mr .LZH 我什么时候说我发现的

  63. 2014-06-11 11:14 | 阿布 ( 路人 | Rank:16 漏洞数:5 )

    我报告这个漏洞 我也没说我发现的.这个漏洞被人利用了

  64. 2014-06-11 11:14 | xssing ( 路人 | Rank:10 漏洞数:7 | xssing)

    @1cefish 可以关注网络尖刀的微博还有网站,人家第一时间提交到TSRC了,然后还发了官微,被泄漏出去了

  65. 2014-06-11 11:14 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @1cefish 呵呵 你觉得他发乌云的时候有想过?就想着好玩就提交乌云?他找管理员删你觉得乌云会删?乌云从来不删除漏洞 @xsser 如果他自己懂点事 就不会发乌云 那么多人都知道了 而就他发乌云了 这属于什么? 是我小不懂事 还是他小不懂事? 做了之后想删除来补救 有用吗? 对我是喷子 我是小孩 对不起 刚刚骂错你 !

  66. 2014-06-11 11:14 | 包子哥 ( 路人 | Rank:0 漏洞数:1 | test)

    @疯子 你这么叼?。。。死鱼你都操都喷.这是准备作死么。

  67. 2014-06-11 11:15 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    @xsser 大家别伤了和气,好好说话,别骂

  68. 2014-06-11 11:16 | 1cefish ( 实习白帽子 | Rank:47 漏洞数:12 | 作为一个到处漂泊了5年的SB 表示黑客无处不...)

    @疯子 他发了我没说他的不对 但是你直接开骂有没有觉得太过了? 说句实话 你们team就没人做过这种事? 恩? 做人将心比心的好

  69. 2014-06-11 11:16 | 海盗湾V ( 实习白帽子 | Rank:58 漏洞数:9 | Your entire life is online)

    就不能和谐点。

  70. 2014-06-11 11:19 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    可怜的洞主。

  71. 2014-06-11 11:20 | GBM ( 路人 | Rank:2 漏洞数:1 | 惊蛰变!)

    @疯子 做事留一线,以后还有的混,不要小看任何人和任何团队。过分了就不好了,1cefish是暗影的人,不是你一个外人可以来指手画脚的。

  72. 2014-06-11 11:20 | 残雪 ( 实习白帽子 | Rank:34 漏洞数:7 | 屌丝一枚擅长扯淡)

    @全体成员:想起了一个事卧槽乌云刚出来的时候有个路由的漏洞我第一个搞出来的和一个人聊天告诉他让他发了我是不是应该告诉管理员把他的发的删了妈的我的20rank啊草可以换2件乌云的T恤啊哎呀后悔死了为毛当时要装逼

  73. 2014-06-11 11:22 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    楼上的打黑阔。。坐等被通缉!嘿嘿

  74. 2014-06-11 11:22 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

    既然洞主已经说明只是发现有人利用此漏洞,而并非漏洞的发现者,那就已经清楚了。各位也不要再争执了。洞主下次提交类似漏洞时请注意说明清楚,以免再次产生这种不必要的误会。

  75. 2014-06-11 11:23 | 乌龟 ( 路人 | Rank:3 漏洞数:1 | 网络安全爱好者)

    快照还能发现。

  76. 2014-06-11 11:24 | GBM ( 路人 | Rank:2 漏洞数:1 | 惊蛰变!)

    @疯子 你喷的是为我们team的人,骂你怎么了?你算什么东西?

  77. 2014-06-11 11:24 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @GBM 好的,我错了,我不该骂洞主的,洞主做的对,以后我有时间就把360,各大SRC的漏洞给copy一份到乌云看看那些洞主爽不?另外别拿暗影说事好吗?我们和暗影是好伙伴,别让关系坏了!

  78. 2014-06-11 11:25 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    不会跟上次腾讯围脖那个一样吧 一个网页中包含XSS代码 但是被转码了 然后QQ预览出一个页面 却给解码了 然后就XSS了。。。 它已经犯过一次这样的低级错误了 难道这次又是? @mango

  79. 2014-06-11 11:25 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    以后我们坚持 把各大SRC的漏洞都copy一份来乌云 刷rank ... 这个主意不错 呵呵...

  80. 2014-06-11 11:25 | GBM ( 路人 | Rank:2 漏洞数:1 | 惊蛰变!)

    @疯子 私下可以单线联系,怎么骂都可以。但是公众场合公然开骂谁都不希望

  81. 2014-06-11 11:27 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    各位去zone里开个地方骂吧!主站影响不好,让人家看笑话!

  82. 2014-06-11 11:34 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    看来那一句转载blog请申明博文出处,还是蛮重要的。

  83. 2014-06-11 11:34 | 羽翼 ( 路人 | Rank:6 漏洞数:2 | 网络安全技术爱好者。)

    啊哈哈哈哈,群口相声~精彩绝伦啊。

  84. 2014-06-11 11:34 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    @羽翼 看热闹

  85. 2014-06-11 11:36 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    听说漏洞不是你发现,py也不是你写,我只是听说

  86. 2014-06-11 11:41 | 社长 ( 路人 | Rank:20 漏洞数:17 | 网络安全爱好者)

    @疯子 作为暗影的一份子,既然牵扯到了我们团队,那我也说句话,这个只能说怪自己吧,再说了洞主也没说是他发现的,或者说也许洞主真是自己发现了,这个谁能证明谁先发现谁后发现呢

  87. 2014-06-11 11:44 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  88. 2014-06-11 11:46 | xnxss ( 路人 | Rank:26 漏洞数:5 | 只有你想不到的。。。。)

    @疯子 不想多说什么了

  89. 2014-06-11 11:46 | 包子哥 ( 路人 | Rank:0 漏洞数:1 | test)

    提交了就提交了,没什么大惊小怪了,如果啊布没有提交,说不定下一个路人甲给提交了 。

  90. 2014-06-11 11:51 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    既然传出来了,就不在乎谁提交了,今天阿布不提交,其它也会有人提交或者是某个路人甲提交。现在大家都知道漏洞是尖刀发现的,这就足矣了,而这个漏洞,大家就权当是一个开源项目就好了~~ 有源码的谁都可以玩啊!--站在中立场的个人拙见,求不喷!

  91. 2014-06-11 11:53 | 包子哥 ( 路人 | Rank:0 漏洞数:1 | test)

    @疯子 作为暗影的一份子,既然牵扯到了我们团队,那我也说句话,这个只能说怪自己吧,再说了洞主也没说是他发现的,或者说也许洞主真是自己发现了,这个谁能证明谁先发现谁后发现呢

  92. 2014-06-11 11:53 | 打酱油的小男孩 ( 路人 | Rank:0 漏洞数:1 | 俺也来乌云看看)

    既然传出来了,就不在乎谁提交了,今天阿布不提交,其它也会有人提交或者是某个路人甲提交。现在大家都知道漏洞是尖刀发现的,这就足矣了,而这个漏洞,大家就权当是一个开源项目就好了~~ 有源码的谁都可以玩啊!--站在中立场的个人拙见,求不喷!

  93. 2014-06-11 11:53 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    貌似场面火药味很浓

  94. 2014-06-11 11:59 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    尼马我去吃个饭回来,就一百楼了

  95. 2014-06-11 12:16 | aaaaty ( 实习白帽子 | Rank:83 漏洞数:28 | 爱情就像,我问服务器whoami,它说root)

    一个小时没看,就多了一个这么火的东西。

  96. 2014-06-11 12:18 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    @阿布 不是自己发现的东西,你还好意思发出来??你知道这叫剽窃吗

  97. 2014-06-11 12:22 | LOL小智 ( 路人 | Rank:2 漏洞数:1 | 碧哥,嫂子呢)

    且发且珍惜.

  98. 2014-06-11 12:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    虽然不知道群里骂我们尖刀的那个是不是你,如果是你,那就骂对了,如果不是,那你就当灌水吧。反正我也骂了,删不掉了。就这样了。

  99. 2014-06-11 12:34 | 红领巾 ( 路人 | Rank:22 漏洞数:4 | 有些漏洞,如果只是从技术层面来说明问题,...)

    且发且珍惜.

  100. 2014-06-11 12:35 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    好像搬过来自己会很伟大

  101. 2014-06-11 12:36 | sdj ( 实习白帽子 | Rank:45 漏洞数:6 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    评论吊炸天

  102. 2014-06-11 12:37 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    @疯子 你当年也不是把法克论坛的其他人发现的webqq的一个可以传exe的漏洞,发到了乌云么,疯子牛这不科学啊

  103. 2014-06-11 12:37 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    我补充一句,我骂的是6575046,这人,是谁谁知道。

  104. 2014-06-11 12:39 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    是你他妈的发现的吗?那别人的东西有脸发吗?QNMLGB

  105. 2014-06-11 12:40 | 阿布 ( 路人 | Rank:16 漏洞数:5 )

    你们应该查的是谁泄漏的漏洞,不是喷我。6575046 这个不是我QQ 他所说的话 也不是我本人说的

  106. 2014-06-11 12:40 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    去你MLGB,是原创么

  107. 2014-06-11 12:40 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    白帽子们的素质真不敢恭维。。。

  108. 2014-06-11 12:41 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    @阿布 你MLGB为了点rank至于么。

  109. 2014-06-11 12:41 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @jusker 呵呵 又开始喷我了? 来加我QQ 继续喷我吧 你喷我快一年了吧?

  110. 2014-06-11 12:41 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    停!!! 可以了,作为最有发言权的我,希望大家不要吵了,圈子还很大!我们还很年轻!!!真的不要这样,只要你觉得对得起自己就可以了。

  111. 2014-06-11 12:42 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    @疯子 喷你妹,娱乐娱乐哈哈,必须的,持续性apt,哈哈,这个漏洞的洞主真不要face

  112. 2014-06-11 12:43 | 行者_travis ( 路人 | Rank:10 漏洞数:1 | 专职测试,安全测试。想搞搞其它的)

    这个漏洞很牛B啊

  113. 2014-06-11 12:44 | 阿布 ( 路人 | Rank:16 漏洞数:5 )

    @jusker 我说是我发现的吗 不会看标题?有人已经在利用了 群里那么火。我不发,你保证不会有别人发在wooyun?

  114. 2014-06-11 12:45 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    喷别人的时候,请先看看自己,我什么也不知道,我瞎说的

  115. 2014-06-11 12:47 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    @阿布 这么回事~~~思密达,睡觉去。

  116. 2014-06-11 12:47 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @肉肉 出来调节一下!

  117. 2014-06-11 12:48 | Falcon ( 路人 | Rank:0 漏洞数:2 | 专业从事,暗杀,刺杀,投毒,潜伏,搏击,...)

    和平世界,文明世界,文明平台,都别骂了,喷来喷去没意思!洞主当次教训吧!

  118. 2014-06-11 12:49 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    哎我擦,我把疯子看成疯狗了, 我这眼睛算是毁了, 谁赞助我一眼镜啊,乌云能不能用WB定制眼镜啊?

  119. 2014-06-11 12:50 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    @hacker@sina.cn 眼睛同毁 ...

  120. 2014-06-11 13:01 | 乡间小路 ( 路人 | 还没有发布任何漏洞 | 关注网络安全。)

    一回来就100多的评论了!

  121. 2014-06-11 13:01 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    求冷静

  122. 2014-06-11 13:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    求腾讯分享产生原因

  123. 2014-06-11 13:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    求分享解决方案

  124. 2014-06-11 13:02 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    @xsser 乌云对这种洞都能审核通过吗,该反思一下啊

  125. 2014-06-11 13:03 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    没想到这个洞这么火

  126. 2014-06-11 13:03 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @xsser @肉肉 @疯狗 @Finger 影响不会,快删吧!

  127. 2014-06-11 13:03 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @xsser 删吧

  128. 2014-06-11 13:04 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    为啥会这么火@疯子 ,我是小群众围观

  129. 2014-06-11 13:05 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @Mr .LZH 严重同意!反思漏洞审核!! @xsser

  130. 2014-06-11 13:06 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    http://www.wooyun.org/help 可以先看看帮助 我们到底关心什么问题

  131. 2014-06-11 13:08 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    @xsser 原来大牛们骂人都这么有技术含量 当真是大牛 非同凡响。。。膜拜中ning.....................

  132. 2014-06-11 13:13 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    乌云漏洞审核机制改进公告 时间:2013-07-09 10:39 作者:WooYun零、漏洞不会通过的原因: 1)无耻抄袭/转载

  133. 2014-06-11 13:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Mr .LZH 这个漏洞当时测试的时候是存在的 厂商也未修复 与已经公布了两年的漏洞并不一致

  134. 2014-06-11 13:16 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    哎都别说啦!只要那人知道后果就行啦!我们尖刀的小伙伴都是很有爱的

  135. 2014-06-11 13:16 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    产生原因很简单吧!这是预览功能设计可能的缺陷之一,远程获取网页内容,没有对文本做xss处理(比如:获取title内容就什么的,直接显示了),qq这里的条件是需要一个其他站的一个存储型xss,因为只有大站才会显示预览(就是qq的白名单url预览了,比如:title或视频预览什么的,比如:这里如果有视频方面的flash xss也是可能弹的).这里和SSRF漏洞的XSS利用方式是一样的!

  136. 2014-06-11 13:16 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    大家就把这个当作是”入侵事件”的报道不就可以了?LZ又没说是他

  137. 2014-06-11 13:22 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Nebula 权限会是本地权限么 如果是本地权限是可以执行命令的

  138. 2014-06-11 13:25 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @xsser 窃取的cookie可以登录,比如zone的完全权限,亲测,而各大媒体报道的都很片面

  139. 2014-06-11 13:26 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    群里弹alert cookie的,还把自己的cookie 截图发出来,改密码都能登录,不明真相的群众

  140. 2014-06-11 13:26 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    没想到视频预览功能带来了这么大的危害。。不过没必要像微博说的。。退群吧。。我觉得如果一个大型的视频网站。。标题可以加上网站吗。。

  141. 2014-06-11 13:29 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    @xsser 你让腾迅白名单里加一下file协议预览,我测试一下! ^-^应该是本地的吧,如果是我设计,我也会这么做.利用当前用户的计算机资源,这样也能节约成本.也算是这个层面上的合理设计之一.

  142. 2014-06-11 13:30 | 丸子-_- ( 路人 | Rank:4 漏洞数:1 | 就是那个丸子)

    @Nebula 针对这次的问题,你说的不完全正确=。=,第一次来乌云不懂规矩,细节我就先不说,抓包就知道是哪里产生的问题了

  143. 2014-06-11 13:32 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @丸子-_- 已经修复了 求zone讨论细节 另外发现的同学可以深入下

  144. 2014-06-11 13:33 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @浩天 我对视频网站的审核是太佩服了,很明显的url也允许通过审核。。

  145. 2014-06-11 13:34 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    @丸子-_- zone里写写,看看是不是? 反正已经修复了.

  146. 2014-06-11 13:45 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    我以为这么多评论是在猜测技术细节的,没想到。。。。额。。。。

  147. 2014-06-11 13:54 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    喷楼主的都是煞笔。不想说什么...

  148. 2014-06-11 13:55 | 丸子-_- ( 路人 | Rank:4 漏洞数:1 | 就是那个丸子)

    @Nebula @xsser 打开zone发现我不会用,简单的说是收影响版本的QQ群有个群“通知中心”的功能,该功能会展示群员分享的多媒体内容,打开群的时候会请求:http://web.qun.qq.com/cgi-bin/notice/get_data?fnum=5&qid=马赛克&bkn=马赛克。该借口返回的内容截取重点部分是:{"type":6,"value":"","videofile":"http://www.tudou.com/v/gh7jvNA-1JM/v.swf","videoid":"http://i1.tdimg.com/195/126/548/p.jpg","videointro":"<img src=1 onerror=alert(document.cookie);> ","videosource":"土豆网","videourl":"http://www.tudou.com/programs/view/gh7jvNA-1JM/"}。videointro字段提取的是土豆视频的标题,虽然土豆网做了转义,但这个接口输出的标题并未进行处理而直接输出到通知中心页面导致了该xss。

  149. 2014-06-11 14:04 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @丸子-_- 内容是展现在本地域还是internet域呢?

  150. 2014-06-11 14:06 | yes-i do ( 路人 | Rank:18 漏洞数:4 | yes-i do)

    大牛们骂人口才也是秀的飞起

  151. 2014-06-11 14:08 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    @xsser 呃 干嘛腾讯还不确认呢 - -

  152. 2014-06-11 14:09 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @xsser 应该是本地域 跟之前的 腾讯围脖的XSS也是一个道理 这样的问题已经出现过好多次了 我之前提交的美丽说存储型XSS也是这个问题

  153. 2014-06-11 14:09 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    @xsser 你应该问解析这个json及显示内容发生在哪里?应该是本地吧!

  154. 2014-06-11 14:12 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    你们都火爆了,消停点吧!都是为互联网安全做贡献的

  155. 2014-06-11 14:16 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    如果这里flash能XSS,那要怎么修复是好啊? 呵呵 !

  156. 2014-06-11 14:18 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @xsser 2014-06-11 13:01 | xsser ( 核心白帽子 | Rank:249 漏洞数:17 | 顺流而下,把梦做完|最近小忙,有问题可以...) 0求冷静 求我做什么!抄作业?

  157. 2014-06-11 14:25 | 丸子-_- ( 路人 | Rank:4 漏洞数:1 | 就是那个丸子)

    @xsser http://web.qun.qq.com/notice/index.html

  158. 2014-06-11 14:26 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    @冷静 楼上别逗了...

  159. 2014-06-11 14:28 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @丸子-_- 3Q

  160. 2014-06-11 14:39 | bboy ( 路人 | Rank:28 漏洞数:3 | Hello world.)

    能动手尽量别吵吵啊。

  161. 2014-06-11 14:45 | gerfalke ( 路人 | Rank:14 漏洞数:4 | IT屌丝一枚)

    小风波,搞这么大动静

  162. 2014-06-11 15:41 | magerx ( 普通白帽子 | Rank:257 漏洞数:45 | 别说话。)

    @Nebula 我是程序猿的话,肯定是将返回的json在本地解析,然后回显,flsh的话 呵呵,

  163. 2014-06-11 15:45 | mingjer ( 路人 | Rank:8 漏洞数:3 | 各种求指导)

    @0x_Jin Yes he did

  164. 2014-06-11 15:49 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    已加入肯德基豪华午餐。

  165. 2014-06-11 16:08 | 过客 ( 实习白帽子 | Rank:42 漏洞数:13 )

    以后腾讯的漏洞可以提交三家,腾讯、数字、wooyun,拿三份奖励,哦也

  166. 2014-06-11 16:19 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @腾讯 可否解释下该问题是如何造成的吗

  167. 2014-06-11 16:24 | 碎片 ( 路人 | Rank:23 漏洞数:9 | <script src=http://www.xss8.net/?c=MjMf4...)

    @腾讯 等的就是这个结果

  168. 2014-06-11 16:30 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    腾讯都那啥了,大家都淡定点

  169. 2014-06-11 16:32 | vanilla ( 路人 | Rank:8 漏洞数:3 | xss,javascript,代码审计)

    这个确实挺严重啊,本地权限什么的

  170. 2014-06-11 16:48 | 九九 ( 路人 | Rank:5 漏洞数:4 | 暂无。)

    喷楼主的都是sb不解释什么,他不是剽窃漏洞,不是你们发漏洞的时候他看到了细节。是你们测试的时候,你们装逼的时候,他发现了。。

  171. 2014-06-11 17:00 | random_ ( 普通白帽子 | Rank:295 漏洞数:50 | 推动开源推动网络安全)

    我想说的是危害,这个能盗cookie(没有确定是不是tudou的cookie,因为视频一般是embed连接的)确实已经危害很大。但是本地权限还很不好说,浏览器的收藏夹、浏览历史、空白页等处xss是本地权限对吧,想必大家都遇到的比较多,但是找到调用本地的接口不是说有就有的。找到了,恭喜你,你就超越拿下chrome 弹出calc的大牛了。

  172. 2014-06-11 17:02 | 记得 ( 路人 | Rank:8 漏洞数:3 | 人 生 若 只 如 初 見)

    路过我是打酱油的 楼上的都是大牛

  173. 2014-06-11 17:34 | lupin ( 普通白帽子 | Rank:254 漏洞数:48 | 尊重自己的爱好 远离利益的罪恶)

    我比较好奇的是 这个xss域还是在tudou.com上吧 如何实现到qq呢

  174. 2014-06-11 17:39 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    @lupin 客户端收到白名单列表中的地址之后 本地发起请求,然后解析对方页面,取出title等信息再操作聊天框的dom添加上去的,所以js应该是在聊天框里被执行

  175. 2014-06-11 17:53 | cooL ( 路人 | Rank:14 漏洞数:5 | hello word)

    真让人想不到这个漏洞会这么火。。。说白了, 其实就是一颗装逼的心理造成的。。。一个漏洞而已, 你看楼上这些人喷的。。。受不了。。。。。别喷我。。。。

  176. 2014-06-11 18:01 | 风的传奇 ( 路人 | Rank:1 漏洞数:2 | 没有什么了不起,混迹于茫茫网络而已。)

    无影响厂商忽略。你们还在这瞎闹个啥劲?

  177. 2014-06-11 18:35 | 路西法 ( 路人 | Rank:2 漏洞数:2 | 堕落天使路西法)

    @jusker 我记得他好像在漏洞描述里说明了实在法客小组上看到的,这个漏洞最大的争议就是没说是看到别人发得,在这种情况下就是默认自己发现的。漏洞在乌云社区10:08分就有人爆出来(http://zone.wooyun.org/content/12899)。导致骂战的是提交者什么都没说,给人感觉就是自己发现的。

  178. 2014-06-11 18:55 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    真让人想不到这个漏洞会这么火....说白了,无聊的人太多了..看热闹的人太多了..

  179. 2014-06-11 19:15 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    漏洞Rank:14 (WooYun评价)卧槽??值了。。。

  180. 2014-06-11 19:41 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    漏洞Rank:14 (WooYun评价) 嚓,以后有什么漏洞有种你们群上说,老子马上转wooyun刷rank。各种剽窃走起

  181. 2014-06-11 19:53 | 爱梅小礼 ( 实习白帽子 | Rank:93 漏洞数:16 | 我怀念的是无话不说)

    没记错的话qq内嵌的是qt webkit,不是ie。所以即便本地权限也做不了太多事,能读取指定路径的文件,没有执行命令的payload,应该是这样

  182. 2014-06-11 21:34 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    乌云这是要变成娱乐圈?

  183. 2014-06-11 21:34 | Draycen ( 路人 | Rank:0 漏洞数:1 )

    卧槽 这个帖子怎么这么长

  184. 2014-06-11 21:34 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    乌云这是要变成娱乐圈?

  185. 2014-06-11 21:51 | MuZhU0 ( 路人 | Rank:6 漏洞数:4 )

    我只觉得很乱,各种大神的评论,眼花缭乱,看不下去。

  186. 2014-06-11 21:52 | 孤月寒城 ( 路人 | Rank:0 漏洞数:1 )

    喷子一堆。不能装个b会死的样子

  187. 2014-06-11 23:02 | jusker ( 实习白帽子 | Rank:67 漏洞数:11 | xxoo决定未来)

    @Anonymous 已经是了粗粗大牛,张开腿@z7y

  188. 2014-06-11 23:09 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    贵圈还不够乱。加油。

  189. 2014-06-11 23:11 | 落泪红尘 ( 路人 | Rank:0 漏洞数:1 | http://hi.baidu.com/r00tswww.sh3llc0de...)

    @1cefish 被人发了就发了呗,你们一群人一直在嘲讽别人,你们不发怪谁

  190. 2014-06-11 23:16 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)

    围观.

  191. 2014-06-12 01:32 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    200楼了,围观了这么久还是露个脸

  192. 2014-06-12 01:44 | 路西法 ( 路人 | Rank:2 漏洞数:2 | 堕落天使路西法)

    @落泪红尘 他们为了控制影响发在了腾讯应急响应中心,看回复不看完的孩子。现在n多媒体拿这个说事,说的很严重……我都无语了。

  193. 2014-06-12 08:52 | 水煮豆豆 ( 路人 | Rank:0 漏洞数:1 | 俺真的是打酱油的~)

    回复的重心远远超过帖子本身了,本来一个好好的漏洞,变成一场骂战这是让我们人民群众看笑话么?

  194. 2014-06-12 08:52 | Duron ( 路人 | Rank:15 漏洞数:1 | 打酱油的~~~)

    ABU V587

  195. 2014-06-12 08:58 | 逗比 ( 路人 | Rank:20 漏洞数:6 | 逗比的年代,诶油我艹)

    真尼玛快啊

  196. 2014-06-14 12:03 | redzl ( 路人 | Rank:6 漏洞数:1 | Let's exploit it!)

    @xsser 200楼了,有必要加个返回顶部按钮

  197. 2014-06-14 22:52 | xcc ( 路人 | Rank:0 漏洞数:1 | 我只是个卖包的)

    一群逗比

  198. 2014-06-23 17:00 | wugui ( 路人 | Rank:15 漏洞数:4 | wugui@lcx.cc)

    真尼玛快啊

  199. 2014-07-17 01:29 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    这个也有rank~ 我也服了~

  200. 2015-05-28 20:54 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    我来盖200楼吧。。。

  201. 2015-06-07 21:19 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    我来挖坟,那些被提醒的孩子你们好~