首页
注册
登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请
登录
›
RANDOM.org 密码生成器
›
uBlock
›
Authy
›
LastPass
›
FreebuF.com
›
Beebeeto
›
Dashlane 密码管理器
广告
V2EX
›
信息安全
V2存在漏洞,不知道补好了没?
Tinet
·
2013-04-14 21:54:31 +08:00
· 3528 次点击
这是一个创建于 4186 天前的主题,其中的信息可能已经有所发展或是发生改变。
链接:
http://www.wooyun.org/bugs/wooyun-2013-021838
简要描述:
V2EX某功能存在缺陷导致rookit xss.
rootkit xss 指可以长期控制一个账户,用户每次访问v2ex都会触发这个XSS.
这样我们就有了一个xss shell.
话说今天刚看到xss攻击,哈哈
XSS
好了没
V2EX
8 条回复
1
Livid
MOD
2013-04-14 21:59:00 +08:00
多谢告知。
但是目前还没有任何人和我联系。
我注册了乌云,说账号审核还需要时间。
2
Livid
MOD
2013-04-14 22:18:47 +08:00
1
就是 @
jackmasa
之前提过的这个问题:
http://www.v2ex.com/t/46678
对于恶意代码清洗不够彻底。
这个问题现在已经补上。
谢谢 @
jackmasa
3
jackmasa
2013-04-14 23:21:57 +08:00
@
Livid
wooyun上这个漏洞就是我提的.
4
jackmasa
2013-04-14 23:23:30 +08:00
@
Livid
里面写了两个问题,一个是账户窃取,二个是rootkit-xss,主要还是csrf的防御被绕过了 :P
5
jackmasa
2013-04-14 23:45:35 +08:00
@
Livid
看了下又找到个绕过的方式
6
Livid
MOD
2013-04-14 23:49:46 +08:00 via iPhone
我是想在乌云上认领的,可是注册个帐号之后要审核多久啊?
7
Tinet
OP
2013-04-15 13:09:26 +08:00
@
jackmasa
碉堡
8
Livid
MOD
2013-04-15 13:11:09 +08:00
看到所有细节了,谢谢。
已经堵上。
关于
·
帮助文档
·
博客
·
API
·
FAQ
·
实用小工具
·
2195 人在线
最高记录 6679
·
Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 26ms ·
UTC 12:29
·
PVG 20:29
·
LAX 05:29
·
JFK 08:29
Developed with
CodeLauncher
♥ Do have faith in what you're doing.