当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159141

漏洞标题:爱奇艺某处存储性XSS

相关厂商:奇艺

漏洞作者: 秃鹫

提交时间:2015-12-10 10:25

修复时间:2015-12-10 10:42

公开时间:2015-12-10 10:42

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-10: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

未对输入做过滤 导致XSS

详细说明:

爱奇艺 我的首页 ---> 我的空间----

微博

地址 处 未做 XSS过滤
我想说其中

微信

处 也未做过滤,只是限制了字符个数,不太好利用
而下面的简介处也存在存储性XSS,未做任何过滤【简介处的XSS我就不贴图了 】..........
微博处XSS:

abc" onmousemove="alert(document.cookie)


1.jpg


触发效果:

weibo XSS .jpg


当其他人浏览攻击者个人主页,触发微博处的xss漏洞后,可获取受害人cookie,从而可以以其身份进行操作等
听说贵公司礼物不错,不知能否赏一个 ^_^

漏洞证明:

爱奇艺 我的首页 ---> 我的空间---- 微博地址 处 未做 XSS过滤

abc" onmousemove="alert(document.cookie)


1.jpg


weibo XSS .jpg


当其他人浏览攻击者个人主页,触发微博处的xss漏洞后,可获取受害人cookie,从而可以以其身份进行操作等
至于危害大不大 客观你评价
听说贵公司礼物不错,不知能否赏一个 ^_^

修复方案:

至于修复方案 我就不YY了

版权声明:转载请注明来源 秃鹫@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-10 10:42

厂商回复:

感谢关注爱奇艺PPS,这个地方只能临时x自己几下。 请在未登录状态下刷新个人页面。 因为无法影响他人,暂忽略。 若有疑问,请反馈。 谢谢报告 :)

最新状态:

暂无


漏洞评价:

评价

  1. 2015-12-10 15:33 | 秃鹫 ( 实习白帽子 | Rank:48 漏洞数:16 | systeminfo)

    http://www.iqiyi.com/u/1235330248

  2. 2015-12-10 15:34 | 秃鹫 ( 实习白帽子 | Rank:48 漏洞数:16 | systeminfo)

    官方回复很霸气,本宝宝表示有些生气 .....   你访问连接看看......

  3. 2015-12-16 23:05 | range ( 普通白帽子 | Rank:162 漏洞数:36 | 这个人有点懒,没有写个人简介)

    @奇艺 你这验证有点屌啊,我没登录都能弹你居然那儿不能弹?

  4. 2016-01-15 13:33 | Digua ( 路人 | Rank:8 漏洞数:4 )

    @range onmouseover。也许验证的时候鼠标没指向那里吧。。