当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103906

漏洞标题:B站某处漏洞可导致可收获大量cookie

相关厂商:bilibili.com

漏洞作者: xtnnd

提交时间:2015-03-26 14:37

修复时间:2015-03-26 14:59

公开时间:2015-03-26 14:59

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-26: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-03-26: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

某处储存型xss漏洞 可打权限高的用户 普通用户的当然也行 挂马绝对是当然的
资深B站狗 求送B站土特产
我的邮箱要被xss提醒沦陷了 我把代码先删了

详细说明:

漏洞存在于投稿的地方

1.png


22.png


点击代码模式

1111111111111.png


4444.png


666.png


QQ图片20150326140318.png


漏洞证明:

修复方案:

你们懂得

版权声明:转载请注明来源 xtnnd@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-03-26 14:59

厂商回复:

已修

最新状态:

2015-03-26:已修

漏洞评价:

评论

  1. 2015-03-26 17:20 | illl ( 路人 | Rank:16 漏洞数:9 | 轻吟一句情话,执笔一副情画。绽放一地情...)

    xss9.com有问题吧

  2. 2015-03-26 18:51 | 龙帝 ( 实习白帽子 | Rank:39 漏洞数:12 )

    = =B站求ID。

  3. 2015-03-26 21:30 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    564199569 洞主球球 ^_^

  4. 2015-03-26 21:31 | xtnnd ( 普通白帽子 | Rank:180 漏洞数:43 )

    @冰海 这是我同学的邮箱 大牛手下留情

  5. 2015-03-27 10:31 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    B站来了,A站也不远了,

  6. 2015-03-28 09:57 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    @xtnnd 俺是好人 -_-

  7. 2015-03-29 21:12 | 八云紫 ( 实习白帽子 | Rank:64 漏洞数:11 | 普建出长门,大建出大和)

    魂淡 我当时点进去了你造不造

  8. 2015-04-07 17:00 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    卧槽,, 你是会员???

  9. 2015-04-08 09:58 | Gorgiaxx ( 路人 | Rank:6 漏洞数:2 | 向菊苣的方向努力!)

    站是个好网站,你们不要黑她

  10. 2015-04-24 23:24 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    楼主打码干嘛呀?