爱奇艺某处存储性XSS | wooyun-2015-0159141| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159141

漏洞标题：爱奇艺某处存储性XSS

漏洞作者：秃鹫

提交时间：2015-12-10 10:25

修复时间：2015-12-10 10:42

公开时间：2015-12-10 10:42

漏洞类型：XSS 跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-10：细节已通知厂商并且等待厂商处理中
2015-12-10：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

未对输入做过滤导致XSS

详细说明：

爱奇艺我的首页 ---> 我的空间----

微博

地址处未做 XSS过滤
我想说其中

微信

处也未做过滤，只是限制了字符个数，不太好利用
而下面的简介处也存在存储性XSS，未做任何过滤【简介处的XSS我就不贴图了】..........
微博处XSS：

abc" onmousemove="alert(document.cookie)

触发效果：

当其他人浏览攻击者个人主页，触发微博处的xss漏洞后，可获取受害人cookie，从而可以以其身份进行操作等
听说贵公司礼物不错，不知能否赏一个 ^_^

漏洞证明：

爱奇艺我的首页 ---> 我的空间---- 微博地址处未做 XSS过滤

abc" onmousemove="alert(document.cookie)

当其他人浏览攻击者个人主页，触发微博处的xss漏洞后，可获取受害人cookie，从而可以以其身份进行操作等
至于危害大不大客观你评价
听说贵公司礼物不错，不知能否赏一个 ^_^

修复方案：

至于修复方案我就不YY了

版权声明：转载请注明来源秃鹫@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-12-10 10:42

厂商回复：

感谢关注爱奇艺PPS，这个地方只能临时x自己几下。请在未登录状态下刷新个人页面。因为无法影响他人，暂忽略。若有疑问，请反馈。谢谢报告 :)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159141

漏洞标题：爱奇艺某处存储性XSS

相关厂商：奇艺

漏洞作者：秃鹫

提交时间：2015-12-10 10:25

修复时间：2015-12-10 10:42

公开时间：2015-12-10 10:42

漏洞类型：XSS 跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源秃鹫@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0159141

漏洞标题：爱奇艺某处存储性XSS

相关厂商：奇艺

漏洞作者： 秃鹫

提交时间：2015-12-10 10:25

修复时间：2015-12-10 10:42

公开时间：2015-12-10 10:42

漏洞类型：XSS 跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0159141"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 秃鹫@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：秃鹫

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源秃鹫@乌云