漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0159141
漏洞标题:爱奇艺某处存储性XSS
相关厂商:奇艺
漏洞作者: 秃鹫
提交时间:2015-12-10 10:25
修复时间:2015-12-10 10:42
公开时间:2015-12-10 10:42
漏洞类型:XSS 跨站脚本攻击
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-10: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
未对输入做过滤 导致XSS
详细说明:
爱奇艺 我的首页 ---> 我的空间----
地址 处 未做 XSS过滤
我想说其中
处 也未做过滤,只是限制了字符个数,不太好利用
而下面的简介处也存在存储性XSS,未做任何过滤【简介处的XSS我就不贴图了 】..........
微博处XSS:
触发效果:
当其他人浏览攻击者个人主页,触发微博处的xss漏洞后,可获取受害人cookie,从而可以以其身份进行操作等
听说贵公司礼物不错,不知能否赏一个 ^_^
漏洞证明:
爱奇艺 我的首页 ---> 我的空间---- 微博地址 处 未做 XSS过滤
当其他人浏览攻击者个人主页,触发微博处的xss漏洞后,可获取受害人cookie,从而可以以其身份进行操作等
至于危害大不大 客观你评价
听说贵公司礼物不错,不知能否赏一个 ^_^
修复方案:
至于修复方案 我就不YY了
版权声明:转载请注明来源 秃鹫@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-12-10 10:42
厂商回复:
感谢关注爱奇艺PPS,这个地方只能临时x自己几下。 请在未登录状态下刷新个人页面。 因为无法影响他人,暂忽略。 若有疑问,请反馈。 谢谢报告 :)
最新状态:
暂无