破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

360搜索 xss 漏洞

编号197785
Urlhttp://www.wooyun.org/bug.php?action=view&id=197785
漏洞状态厂商已经修复
漏洞标题360搜索 xss 漏洞
漏洞类型XSS跨站脚本攻击
厂商奇虎360
白帽子路人甲
提交日期2016-04-18 14:16:00
公开日期2016-04-18 17:24:00
修复时间2016-04-18 17:24:00
确认时间2016-04-18 00:00:00
Confirm Spend0
漏洞标签持久型xss 存储型xss XSS
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank3
漏洞简介
收录url时没有对地址进行有效的过滤。导致可在url中插入可执行代码。
漏洞细节

<cite>hersface.com/p/<script>alert('123');</script></cite>


收录地址中的恶意代码没有被过滤。

POC

https://www.so.com/s?q=site%3Ahersface.com&pn=3&psid=3a3d81276535f3c48efbf485144eaea6&src=srp_paging&fr=tab_www

a.png

修复方案

过滤

状态信息 2016-04-18: 细节已通知厂商并且等待厂商处理中
2016-04-18: 厂商已经确认,细节仅向厂商公开
2016-04-18: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复感谢关注360产品安全,我们第一时间进行修复。
回应信息危害等级:低漏洞Rank:3 确认时间:2016-04-18 17:24