当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02610

漏洞标题:关于QQ空间可以绕过限制添加未审的flash的问题

相关厂商:腾讯

漏洞作者: 蚊虫

提交时间:2011-08-02 14:20

修复时间:2011-09-01 14:20

公开时间:2011-09-01 14:20

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-08-02: 细节已通知厂商并且等待厂商处理中
2011-08-02: 厂商已经确认,细节仅向厂商公开
2011-08-12: 细节向核心白帽子及相关领域专家公开
2011-08-22: 细节向普通白帽子公开
2011-09-01: 细节向实习白帽子公开
2011-09-01: 细节向公众公开

简要描述:

上次被爆出可以添加flash假登录框来钓鱼的续集。。。

详细说明:

虽然设置了flash域名的白名单
但是却可以用白名单域名的跳转来绕过限制

漏洞证明:

构造如下地址 添加flash模块

http://a.cntv.cn/main/c?d=cntv-0&i=z570,1185482,3488&u=http://flash.tqqa.com/200907/280002-1.swf



修复方案:

这是个问题,正则表达式能判断么?我菜鸟我不懂

版权声明:转载请注明来源 蚊虫@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2011-08-02 14:39

厂商回复:

thx

最新状态:

暂无