被忽视的企业QQ空间新闻存储型xss漏洞 http://www.wooyun.org/bugs/wooyun-2010-042657
随意盗取指定客户端QQ号码cookis通杀抓取 随意利用!附(爆破盗号者后台)
利用路人甲被TX忽视的
被忽视的企业QQ空间新闻存储型xss漏洞
WooYun: 企业QQ企业空间存储型xss漏洞(获取任何客户端登陆的qq帐号)
今天打开一家医院网站http://www.89006006.com/ganbin/cgjc/13604.html
查js:
得到盗号者后台地址:http://115.28.10.169/li/
第一步 查企业QQxss漏洞地址 http://115.28.10.169/li/?action=js解密得
得到:http://800061659.114.qq.com/ndetail_677.html 查源码
直接跨域传递本地客户端cookis包括QQ帐号!
然后转到盗号者后台 http://115.28.10.169/li/ 注入 http://115.28.10.169/li/index.php?action=qqsList
数据很可怕!!!!! 改密码去 雅蠛蝶。。。
修复方案:
雅蠛蝶。。。
版权声明:转载请注明来源 冻心@乌云漏洞回应 厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2013-11-25 11:04
厂商回复:非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价 (共0人评价): 登陆后才能进行评分评价 2013-11-23 23:26 | cnhello( 路人 | Rank:0 漏洞数:1 | 小菜一枚,学习中。。。) 0
爆破盗号者后台
1# 2013-11-24 00:44 | HoerWing( 路人 | Rank:24 漏洞数:4 | "People should not be afraid of their go...) 0洞主,你在乌云这么屌你家里人知道么
2# 2013-11-24 09:46 | kydfn( 路人 | Rank:2 漏洞数:1 | The Dark worId Need To Clean The Blood) 0洞主,你在乌云这么屌,你爸妈知道么。
3# 2013-11-24 09:59 | 麻花藤( 路人 | Rank:15 漏洞数:1 | ด้้้้้็็็็็้้้้้็็็็...) 0洞主,你在乌云这么屌你媳妇知道么
4# 2013-11-24 10:21 | 伟哥( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕坚定的白云有耐心,那么一只起...) 0洞主,你在乌云这么屌你哥哥知道么
5# 2013-11-24 11:31 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?) 0貌似图裂了 洞主update下吧
6# 2013-11-25 09:48 | 冻心( 路人 | Rank:5 漏洞数:3 | 爱wooyun 爱生活!) 0@xsser 大哥 好了 审核下
7# 2013-12-03 16:59 | 纷纭( 实习白帽子 | Rank:83 漏洞数:30 | 学习者。) 0洞主,你在乌云这么屌,你爸妈知道么。
8# 2014-01-08 08:12 | 4399gdww( 路人 | Rank:20 漏洞数:4 | ) 0洞主,你在乌云这么屌,你爷奶知道么
9# 2014-01-08 09:55 | 乌云最帅的淫( 实习白帽子 | Rank:51 漏洞数:23 | 不以淫荡惊天下,就以闷骚动世人) 0洞主 求其它姿势