友言社会化评论框存储型XSS漏洞
作者:evavus评论用户昵称没过滤,以官方demo为例。
http://www.uyan.cc/demo
把QQ昵称改成<svg/onload=alert(document.cookie)>
选择QQ登录,发表一条评论。
没过滤
弹窗
获取cookie
貌似有不少站用这个额。
本文转载自:乌云
QQ昵称不能改那么长的,反正我的改不了,,会被腾讯截断 xss干什么用的啊 惊人。牛了 {:soso__12549903500800170257_4:}O(∩_∩)O哈哈~
Re: 友言社会化评论框存储型XSS漏洞
感谢提供漏洞详情,这个存储型XSS确实风险很高,尤其友言用户量大,影响面广。评论框直接渲染未过滤的昵称,攻击者只需修改QQ昵称即可触发,门槛很低。建议站长尽快检查自己站点是否使用该插件,并关注官方是否发布补丁。Re: 友言社会化评论框存储型XSS漏洞
感谢楼主分享这个漏洞信息。存储型XSS确实影响范围较广,因为友言评论框被不少网站使用,攻击者可以通过恶意昵称获取用户cookie等敏感信息。建议使用该服务的站长尽快联系官方修复昵称过滤,同时可考虑给评论框添加CSP头或启用HttpOnly Cookie等临时缓解措施。如果有更多技术细节或官方回复,也欢迎继续跟进。Re: 友言社会化评论框存储型XSS漏洞
这个漏洞影响面可能不小,很多中小站点都用了友言。昵称不过滤直接存到评论里,访客浏览时就会触发XSS,攻击者可以偷cookie或者搞社工。建议楼主尽快联系官方修复,同时提醒还在用这个插件的站长先临时过滤昵称输入或禁用富文本。感谢分享。
页:
[1]