【漏洞】酷狗存在严重的XSS和Url跳转漏洞

  • A+
所属分类:lcx

博主补充:

    你就没有测试一下发图片的地方么?非要搞得那么复杂。哎~

    哎,这种垃圾漏洞,哎,不想多说什么了,太简单了:

    同时演示XSS和Url跳转
    1.插入图片
    2.网络地址处填写:javascript:alert(/Nuclear'Atk 2010-8-27 4:02:33/);location.href='https://lcx.cc/'
    3.可以执行任意java代码。

--------------------------------------------------------------------------------

漏洞概要: 酷狗存在严重的XSS和Url跳转漏洞
缺陷编号: WooYun-2010-00308
漏洞标题: 酷狗播放试听专区XSS
相关厂商: 酷狗
提交时间: 2010-08-26
公开时间: 2010-08-26
漏洞类型: 跨站脚本攻击
危害等级: 高

--------------------------------------------------------------------------------
漏洞详情
--------------------------------------------------------------------------------
简要描述:
    酷狗播放试听专区XSS

详细说明:
    用户可以发帖时应用插件音乐链接时插入恶意代码,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,得到管理员信息。

漏洞证明:
    XSS测试页面:http://www.kugou.com/service/View.aspx?SubjectID=269839&page=1
    Url跳转漏洞:http://sdn.kugou.com/link.aspx?id=3480&url=https://lcx.cc/

修复方案:
    对连接地址进行认证/过滤,并进行Html转义字符后输出

漏洞反馈:
    已经提交给官方,等待修复。
--------------------------------------------------------------------------------

文章来源于lcx.cc:【漏洞】酷狗存在严重的XSS和Url跳转漏洞

相关推荐: 全方位在互联网中保护自己第七章(上网习惯以及计算机唯一代码追踪的防范)

严重警告: 本文内容纯属业余恶搞娱乐,不牵扯任何敏感话题,文章内容真实性无从考证!本站并不赞同文中任何观点;如果读者私自非法传播、转载或进行任何触犯中国法律的行为,后果自负! 全方位在互联网中保护自己第七章(上网习惯以及计算机唯一代码追踪的防范) safe12…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: