遨游3 3.0.20.3000最近关闭页面存在跨站

缺陷编号: WooYun-2011-01338

漏洞标题: 遨游3 3.0.20.3000最近关闭页面存在跨站

相关厂商: 傲游

漏洞作者: 路人甲

提交时间: 2011-02-18

公开时间: 2011-02-23

漏洞类型: 跨站脚本攻击

危害等级: 低

漏洞状态: 厂商忽略漏洞

漏洞来源: http://www.wooyun.org


漏洞详情

简要描述:

打开遨游 显示上次未关闭页面的时候 存在一个XSS

详细说明:

 

本漏洞由某颜色牛蛋疼触发

遨游浏览器打开的时候会自动打开一个页面显示上次浏览器关闭时未关闭的页面

页面以Html方式华丽呈现

<a href="${last-visited!ReportUrl} 调用历史纪录中的标题,此时如果碰巧title中出现Html标签,则遨游会毫不犹豫解析

测试版本为遨游3.0.20.3000

测试:安恒安全小组

发表评论?

0 条评论。

发表评论