腾讯某论坛存储型xss漏洞

漏洞概要

缺陷编号:WooYun-2014-054446

漏洞标题:腾讯某论坛存储型xss漏洞

相关厂商:腾讯

漏洞作者:路人甲

提交时间:2014-03-24 10:56

公开时间:2014-03-27 09:41

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2014-03-24: 细节已通知厂商并且等待厂商处理中
2014-03-24: 厂商已查看当前漏洞内容,细节仅向厂商公开
2014-03-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

qq所有地方论坛(如大粤社区、大成社区),被注入代码,劫持了访问论坛用户的cookie,使得每个访问者的cookie都被写入了cps信息。这样,这些用户网上购物时,入侵者即可以通过cps获得利益。

详细说明:

qq所有地方论坛(如大粤社区、大成社区),被注入代码,劫持了访问论坛用户的cookie,使得每个访问者的cookie都被写入了cps信息。这样,这些用户网上购物时,入侵者即可以通过cps获得利益。

漏洞证明:

如:http://mycd.qq.com/t-1035197-1.htm

修复方案:

需要腾讯进行修复

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-03-2709:41

厂商回复:

非常感谢您的报告,经评估未复现报告所述问题且联系报告者后无响应。故忽略。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 雷锋 白帽子 | Rank:8 漏洞数:1)

    神奇的路人甲。不过貌似都是代理商吧。厂商貌似不该腾讯吧