百度游戏分站存储xss漏洞

漏洞概要

缺陷编号:WooYun-2013-018051

漏洞标题:百度游戏分站存储xss漏洞

相关厂商:百度

漏洞作者:围剿

提交时间:2013-01-29 13:04

公开时间:2013-01-29 21:21

漏洞类型:XSS 跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2013-01-29: 细节已通知厂商并且等待厂商处理中
2013-01-29: 厂商已查看当前漏洞内容,细节仅向厂商公开
2013-01-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

对输入端过滤不严格,造成xss

详细说明:

发表心情处,对输入端过滤不严格,造成xss。可获取cookie 等一系列信息。xss是过滤通病,没过多深入。

漏洞证明:

修复方案:

过滤。

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-29 21:21

厂商回复:

我复现了你的弹框,但是这仅仅是一个弹框,不是一个安全漏洞。感谢你对百度安全的关注。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xfkxfk 白帽子 | Rank:1829 漏洞数:172)

    lz 给力。。。为毛每次我提交的xss基本上都未审核,感觉xss不打个后台,不搞个蠕虫,都没人要了。。。

  2. 2010-01-01 00:00 Kaier 白帽子 | Rank:11 漏洞数:1)

    忽略了- -

  3. 2010-01-01 00:00 瓜瓜 白帽子 | Rank:158 漏洞数:24)

    如果只是一个弹窗.而无其他利用的话..只是影响用户体验吧。。。。。。。。。。。。?求科普

  4. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    @瓜瓜 这个是self xss,只能x自己。ajax post数据回服务器之后,本地js直接用输入框里面的东西来更新本地的div里面的代码。如果刷新的话就不会弹。所以这个连弹alert都不是

  5. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @xsjswt 这个东西能利用的话又是个通用型的了,绝对牛b了,不过可以社工利用

  6. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    @小胖胖要减肥 社工也有点难度。有点影响,不过既然发在乌云了,忽略还是不太应该,勉勉强强也算个小问题,给1 rank都好。

  7. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @xsjswt 社工自己的朋友还是可以的,开个小玩笑,不过百度既然修复了给1个鼓励下嘛

  8. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    @小胖胖要减肥 我也是这个意思。在乌云玩,就应该有点乌云的规矩。就算对安全没什么影响,确实是问题的,就给点rank,多少不是问题,问题在于对白帽子工作的肯定态度。

  9. 2010-01-01 00:00 goderci 白帽子 | Rank:522 漏洞数:47)

    其实我希望作为一个白帽子,应该努力的,认真的去分析问题的根本原因,根本危害,而不是看到一个弹框之后就想当然的认为这是一个什么什么。如果你认为有危害,那么请告诉大家你们的想法,而不是只丢几张截图,其实危害自己从来没想过,人云亦云罢了:)

  10. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    楼上几位大牛所言极是,最起码过滤不严这个问题是错在的,又怎么能完全忽略呢。。

  11. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @xsjswt @goderci @围剿 问题我觉得不是过滤,而是利用方式,比如一个新闻网站,没有登录的,就算都是反射型的xss又如何呢,2位大牛觉得呢,剑心一直提倡以数据位中心,攻击大多是逐利的,包括满足自己虚荣心

  12. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    @小胖胖要减肥 球12306库

  13. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @xsjswt 我都没黑过站 一条裤子都没有

  14. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @xsjswt 给个qq?短消息

  15. 2010-01-01 00:00 xsjswt 白帽子 | Rank:146 漏洞数:38)

    @小胖胖要减肥 你成功被我忽悠住了

  16. 2010-01-01 00:00 正在输入 白帽子 | Rank:6 漏洞数:1)

    @xfkxfk 估计是要影响大的。。。