当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043128

漏洞标题:土豆网所有分站都存在的一个XSS

相关厂商:土豆网

漏洞作者: B1acken

提交时间:2013-11-17 11:29

修复时间:2014-01-01 11:30

公开时间:2014-01-01 11:30

漏洞类型:xss跨站脚本攻击

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-17: 细节已通知厂商并且等待厂商处理中
2013-11-22: 厂商已经确认,细节仅向厂商公开
2013-12-02: 细节向核心白帽子及相关领域专家公开
2013-12-12: 细节向普通白帽子公开
2013-12-22: 细节向实习白帽子公开
2014-01-01: 细节向公众公开

简要描述:

土豆网所有分站都存在的XSS
土豆也算是大站了,求通过,别忽略

详细说明:

今天无聊,想在土豆找部电影看,鼠标点在搜索框
一不小心就输入了"/><script>alert(/a/)</script>
弹框就出现了,最后发现土豆的所有分站都存在同样的问题,随便找一个搜索都是一样
上几张图吧:

tudou1.jpg


tudou2.jpg


tudou3.jpg


tudou4.jpg


存在此漏洞的分站如下:
http://movie.tudou.com/
http://www.tudou.com/
http://imake.tudou.com/
http://tv.tudou.com/
http://zy.tudou.com/
http://cartoon.tudou.com/
http://music.tudou.com/
http://news.tudou.com/
http://fun.tudou.com/
http://game.tudou.com/
http://ent.tudou.com/
http://sports.tudou.com/
http://jilupian.tudou.com/
http://auto.tudou.com/
http://it.tudou.com/
http://health.tudou.com/
http://beauty.tudou.com/
http://fashion.tudou.com/
http://life.tudou.com/
http://edu.tudou.com/
http://mobile.tudou.com/
………………

漏洞证明:

tudou1.jpg

修复方案:

这个你们更懂

版权声明:转载请注明来源 B1acken@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-22 09:39

厂商回复:

确认,谢谢。

最新状态:

暂无