公众号现在只对常读和星标的才展示大图推送,
建议大家把夜组科技圈设为星标,接收一手资讯!
漏洞描述
哔哩哔哩网页端疑似曝出存储型XSS漏洞。
目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也可以带上b站的cookie调用b站api(从后端视角来看,这些请求完全是由客户端正常发起的),从而可以进行删视频等操作。
普通终端用户无法有效抵御,建议暂时改用客户端直到漏洞被修复。
来源:视频《为什么我建议别用B站网页端了(攻击指定b站账号)》
https://www.bilibili.com/video/BV1TqcueYEhG/
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(夜组科技圈):哔哩哔哩网页端疑似曝出存储型XSS漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论