漏洞概要 关注数(5)
关注此漏洞
漏洞标题: 腾讯浏览器XSS
相关厂商: 腾讯
漏洞作者: 神刀
提交时间: 2011-05-24
公开时间: 2011-05-25
漏洞类型: xss跨站脚本攻击
危害等级: 高
自评Rank: 20
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
设计缺陷
浏览器
本地跨域
本地域xss
浏览器实现漏洞
漏洞详情
披露状态:
2011-05-24: 细节已通知厂商并且等待厂商处理中
2011-05-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
这是一个神奇的跨站,TX你懂的。
详细说明:
1.正常打开QQ浏览器最新版
2.在输入框直接输入跨站代码,弹窗
漏洞证明:
输入框输入:
<script>alert(/shendao/)</script>
修复方案:
过滤过滤!不要自动运行脚本嘛。
版权声明:转载请注明来源 神刀@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-05-25
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
2011-05-25:理解上出现了误会。我们再次测试,发现确实有问题。感谢神刀。
评论
-
2011-05-25 09:07 |
腾讯(乌云厂商)
呃,非常感谢你的通报,我们非常感谢你对我们公司产品的帮助。不过这个-_-!! 我建议你报给微软:“在ie浏览器里输入javasript:alert()”存在XSS。当然,还有firefox等等等等
-
2011-05-25 11:40 |
神刀
(白帽子 | Rank:23 漏洞数:2 | shellsec.com内射那么牛,虾米没妹子?)
关键是IE那些要回车才显示,你这个贴进去代码自动就弹出来了。
-
2011-05-25 12:46 |
rayh4c
(核心白帽子 | Rank:240 漏洞数:22 | 我弹框这么牛逼还是没妞喜欢我)
file:///C:/Program%20Files/Tencent/QQBrowser/5.1.6829.201/extensions/%7B80944EE7-D5ED-46f6-86DF-53FCE8B945AB%7D/1.2.3.4/aero/addressList.html####***###
本地DOM XSS一枚 可以远程读取本地文件 这都被忽略了 - -
-
2011-05-25 13:27 |
xsser
(核心白帽子 | Rank:236 漏洞数:16 | 卖身不卖艺)
而且是输入<script>alert()</script>啊 还是javascript:alert()啊
-
2011-05-26 10:41 |
蚊虫
(白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛逼还是没妞喜欢我)
贴进去代码自动就弹出..介个,应该是浏览器的自动下拉菜单,设计缺陷 。。。。MU过虑。。。
-
2011-05-26 16:07 |
呆子不开口
(核心白帽子 | Rank:150 漏洞数:12 | 我是水一样的男子,因为党说我是流动人口)
file:///C:/Program%20Files/Tencent/QQBrowser/5.1.6829.201/extensions/%7B80944EE7-D5ED-46f6-86DF-53FCE8B945AB%7D/1.2.3.4/aero/addressList.html####***### 本地DOM XSS一枚 可以远程读取本地文件 这都被忽略了 - -
------------------------------------------------------------
研究下怎么让用户点击就中
-
2011-07-11 15:40 |
晴天小铸
(核心白帽子 | Rank:106 漏洞数:31 | 退出黑客界的纠纷,低调求发展。)
