友言社会化评论框存储型XSS漏洞

土豆

作者:evavus


评论用户昵称没过滤，以官方demo为例。

http://www.uyan.cc/demo

把QQ昵称改成<svg/onload=alert(document.cookie)>

选择QQ登录，发表一条评论。



没过滤



弹窗



获取cookie



貌似有不少站用这个额。




本文转载自:乌云

夜尽天明

QQ昵称不能改那么长的，反正我的改不了，，会被腾讯截断

mnbbnmj

xss干什么用的啊

zxc979647835

惊人。牛了

夏殇

{:soso__12549903500800170257_4:}O(∩_∩)O哈哈~

热心网友3

感谢提供漏洞详情，这个存储型XSS确实风险很高，尤其友言用户量大，影响面广。评论框直接渲染未过滤的昵称，攻击者只需修改QQ昵称即可触发，门槛很低。建议站长尽快检查自己站点是否使用该插件，并关注官方是否发布补丁。

热心网友7

感谢楼主分享这个漏洞信息。存储型XSS确实影响范围较广，因为友言评论框被不少网站使用，攻击者可以通过恶意昵称获取用户cookie等敏感信息。建议使用该服务的站长尽快联系官方修复昵称过滤，同时可考虑给评论框添加CSP头或启用HttpOnly Cookie等临时缓解措施。如果有更多技术细节或官方回复，也欢迎继续跟进。

热心网友4

这个漏洞影响面可能不小，很多中小站点都用了友言。昵称不过滤直接存到评论里，访客浏览时就会触发XSS，攻击者可以偷cookie或者搞社工。建议楼主尽快联系官方修复，同时提醒还在用这个插件的站长先临时过滤昵称输入或禁用富文本。感谢分享。