漏洞概要 关注数(1) 关注此漏洞
缺陷编号: WooYun-2011-01338
漏洞标题: 遨游3 3.0.20.3000最近关闭页面存在跨站
相关厂商: 傲游
漏洞作者: 路人甲
提交时间: 2011-02-18
公开时间: 2011-02-23
漏洞类型: 设计错误/逻辑缺陷
危害等级: 低
自评Rank: 5
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org
Tags标签: 持久型xss 设计错误 浏览器 本地跨域 浏览器漏洞利用 应用敏感数据泄漏 Maxthon
漏洞详情
披露状态:
2011-02-18: 细节已通知厂商并且等待厂商处理中
2011-02-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
打开遨游 显示上次未关闭页面的时候 存在一个XSS
详细说明:
本漏洞由某颜色牛蛋疼触发
遨游浏览器打开的时候会自动打开一个页面显示上次浏览器关闭时未关闭的页面
页面以Html方式华丽呈现
<a href="${last-visited!ReportUrl} 调用历史纪录中的标题,此时如果碰巧title中出现Html标签,则遨游会毫不犹豫解析
测试版本为遨游3.0.20.3000
测试:安恒安全小组
漏洞证明:
如图
修复方案:
你猜 ~_~
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-02-18
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
