V2存在漏洞，不知道补好了没？

2013-04-14 21:54:31 +08:00

Tinet

链接： http://www.wooyun.org/bugs/wooyun-2013-021838
简要描述：
V2EX某功能存在缺陷导致rookit xss.
rootkit xss 指可以长期控制一个账户,用户每次访问v2ex都会触发这个XSS.
这样我们就有了一个xss shell.

话说今天刚看到xss攻击，哈哈

3471 次点击

所在节点

信息安全

8 条回复

Livid

2013-04-14 21:59:00 +08:00

多谢告知。

但是目前还没有任何人和我联系。

我注册了乌云，说账号审核还需要时间。

Livid

2013-04-14 22:18:47 +08:00

就是 @jackmasa 之前提过的这个问题：

http://www.v2ex.com/t/46678

对于恶意代码清洗不够彻底。

这个问题现在已经补上。

谢谢 @jackmasa

jackmasa

2013-04-14 23:21:57 +08:00

@Livid wooyun上这个漏洞就是我提的.

jackmasa

2013-04-14 23:23:30 +08:00

@Livid 里面写了两个问题,一个是账户窃取,二个是rootkit-xss,主要还是csrf的防御被绕过了 :P

jackmasa

2013-04-14 23:45:35 +08:00

@Livid 看了下又找到个绕过的方式

Livid

2013-04-14 23:49:46 +08:00

我是想在乌云上认领的，可是注册个帐号之后要审核多久啊？

Tinet

2013-04-15 13:09:26 +08:00

@jackmasa 碉堡

Livid

2013-04-15 13:11:09 +08:00

看到所有细节了，谢谢。

已经堵上。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/65894

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.