V2存在漏洞,不知道补好了没?

2013-04-14 21:54:31 +08:00
 Tinet
链接: http://www.wooyun.org/bugs/wooyun-2013-021838
简要描述:
V2EX某功能存在缺陷导致rookit xss.
rootkit xss 指可以长期控制一个账户,用户每次访问v2ex都会触发这个XSS.
这样我们就有了一个xss shell.

话说今天刚看到xss攻击,哈哈
3563 次点击
所在节点    信息安全
8 条回复
Livid
2013-04-14 21:59:00 +08:00
多谢告知。

但是目前还没有任何人和我联系。

我注册了乌云,说账号审核还需要时间。
Livid
2013-04-14 22:18:47 +08:00
就是 @jackmasa 之前提过的这个问题:

http://www.v2ex.com/t/46678

对于恶意代码清洗不够彻底。

这个问题现在已经补上。

谢谢 @jackmasa
jackmasa
2013-04-14 23:21:57 +08:00
@Livid wooyun上这个漏洞就是我提的.
jackmasa
2013-04-14 23:23:30 +08:00
@Livid 里面写了两个问题,一个是账户窃取,二个是rootkit-xss,主要还是csrf的防御被绕过了 :P
jackmasa
2013-04-14 23:45:35 +08:00
@Livid 看了下又找到个绕过的方式
Livid
2013-04-14 23:49:46 +08:00
我是想在乌云上认领的,可是注册个帐号之后要审核多久啊?
Tinet
2013-04-15 13:09:26 +08:00
@jackmasa 碉堡
Livid
2013-04-15 13:11:09 +08:00
看到所有细节了,谢谢。

已经堵上。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/65894

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX