漏洞起因
输入验证错误
危险等级
低
影响系统
Skype Technologies Skype 4.2 169
Skype Technologies Skype 4.2 155
Skype Technologies Skype 4.2 152
Skype Technologies Skype 4.1 .179
Skype Technologies Skype 4.1 .179
Skype Technologies Skype 4.1 .166
Skype Technologies Skype 4.1 .141
Skype Technologies Skype 4.1 .136
Skype Technologies Skype 4.1 .130
Skype Technologies Skype 4.0 .227
Skype Technologies Skype 4.0 .226
Skype Technologies Skype 4.0 .224
Skype Technologies Skype 4.0 .216
Skype Technologies Skype 4.0 .215
Skype Technologies Skype 4.0 .206
Skype Technologies Skype 5.3.0.120
Skype Technologies Skype 5.3
Skype Technologies Skype 5.0.0.105
Skype Technologies Skype 4.2.0.166
Skype Technologies Skype 4.2.0.163
Skype Technologies Skype 4.2.0.158
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
攻击所需条件
攻击者必须构建恶意链接,诱使用户解析。
漏洞信息
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype对"mobile phone"字段缺少正确的输入校验和输出过滤,可导致跨站脚本攻击,攻击者构建恶意链接,诱使用户解析,可获得敏感信息或劫持用户会话。
测试方法
http://www.noptrix.net/tmp/skype_xss.png
http://www.youtube.com/watch?v=eIgb9D-0DWs
厂商解决方案
目前没有详细解决方案提供:
http://www.skype.com/
漏洞提供者
noptrix
0 条评论。