QQ空间储存型xss

漏洞概要

缺陷编号:WooYun-2013-017833

漏洞标题:QQ空间储存型xss

相关厂商:腾讯

漏洞作者:iiiiiiiii

提交时间:2013-01-25 10:50

公开时间:2013-01-25 11:27

漏洞类型:XSS 跨站脚本攻击

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2013-01-25: 细节已通知厂商并且等待厂商处理中
2013-01-25: 厂商已查看当前漏洞内容,细节仅向厂商公开
2013-01-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

只能影响自己哎 不过应该能作为后门使用

详细说明:

写日志

然后编辑htm输出xss代码

返回以后就触发了 然后不管直接返回别的页面

这样的话第二次写日志的时候也会触发

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-25 11:27

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    能csrf就能做后门,先看解析的请求是否能够get构造

  2. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    这个貌似没啥影响

  3. 2010-01-01 00:00 rasca1 白帽子 | Rank:39 漏洞数:8)

    额。。。。。。又发布不了,连保存草稿箱都不能