搜狗视频搜索存储型XSS漏洞(第三方安全威胁)

时间: 2020-10-10|tag: 27次围观|0 条评论

搜狗的视频搜索可xss
由于引用第三方内容且缺乏过滤造成xss

搜狗的视频搜索中,用户评论获取的是豆瓣电影上对应的片名,在豆瓣电影中发表标题 <script>alert('111111111111111111');</script> 的影评,可以成功造成搜狗视频xss,多的不说了。

搜狗视频搜索存储型XSS漏洞(第三方安全威胁)插图

 
http://video.sogou.com/v?query=%B5%E7%D3%B0+%CC%EC%B2%C5%D1%DB%BE%B5%B9%B7&typemask=6&p=&dp=&w=06009900&_asf=video.sogou.com&_ast=1396584117&dr=&enter=1

搜狗视频搜索存储型XSS漏洞(第三方安全威胁)插图1
搜狗视频搜索存储型XSS漏洞(第三方安全威胁)插图2

修复方案:
给部门哥们加点薪
    上一篇: 百合-百度 OAuth 2.0 redirect_uri CSRF 漏洞 - 网站安全

    下一篇: 江南科友HAC运维审计系统存在命令注入及暴路径
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《搜狗视频搜索存储型XSS漏洞(第三方安全威胁)
   

还没有人抢沙发呢~