V2存在漏洞，不知道补好了没？ - V2EX

Home Sign Up Sign In

This topic created in 4776 days ago, the information mentioned may be changed or developed.

链接： http://www.wooyun.org/bugs/wooyun-2013-021838
简要描述：
V2EX某功能存在缺陷导致rookit xss.
rootkit xss 指可以长期控制一个账户,用户每次访问v2ex都会触发这个XSS.
这样我们就有了一个xss shell.

话说今天刚看到xss攻击，哈哈

8 replies

1

Livid

MOD

PRO

Apr 14, 2013

多谢告知。

但是目前还没有任何人和我联系。

我注册了乌云，说账号审核还需要时间。

2

Livid

MOD

PRO

Apr 14, 2013

1

就是 @jackmasa 之前提过的这个问题：

http://www.v2ex.com/t/46678

对于恶意代码清洗不够彻底。

这个问题现在已经补上。

谢谢 @jackmasa

3

jackmasa

Apr 14, 2013

@Livid wooyun上这个漏洞就是我提的.

4

jackmasa

Apr 14, 2013

@Livid 里面写了两个问题,一个是账户窃取,二个是rootkit-xss,主要还是csrf的防御被绕过了 :P

5

jackmasa

Apr 14, 2013

@Livid 看了下又找到个绕过的方式

6

Livid

MOD

PRO

Apr 14, 2013 via iPhone

我是想在乌云上认领的，可是注册个帐号之后要审核多久啊？

7

Tinet

OP

Apr 15, 2013

@jackmasa 碉堡

8

Livid

MOD

PRO

Apr 15, 2013

看到所有细节了，谢谢。

已经堵上。

About · Help · Advertise · Blog · API · FAQ · Solana · 3966 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 42ms · UTC 05:11 · PVG 13:11 · LAX 22:11 · JFK 01:11
♥ Do have faith in what you're doing.