一、详细说明:
在喜马拉雅客服沟通处存在反射型xss漏洞,可以获取cookie信息以及IP地址
二、漏洞证明:
1.输入payload:<img src=a οnerrοr=console.log(“xss”)
可以发现在console中执行
2.与人工客服沟通输入xss平台payload成功获取cookie等信息
三、修复方案:
修复建议对用户的输入进行实体转义或标签黑白名单处理
四、喜马拉雅官方回复为内部已知漏洞
一、详细说明:
在喜马拉雅客服沟通处存在反射型xss漏洞,可以获取cookie信息以及IP地址
二、漏洞证明:
1.输入payload:<img src=a οnerrοr=console.log(“xss”)
可以发现在console中执行
2.与人工客服沟通输入xss平台payload成功获取cookie等信息
三、修复方案:
修复建议对用户的输入进行实体转义或标签黑白名单处理
四、喜马拉雅官方回复为内部已知漏洞