新浪微博http://widget.weibo.com/ 下直播组件存在XSS 漏洞 。 详细说明: 直播组件一般给其他网站使用,如嵌入 <iframe src=http://widget.weibo.com/livestream/listlive.php?language=zh_cn&width=242&height=290&uid=1459831275&skin=1&refer=1&pic=1&titlebar=0&border=0&publish=1&atalk=1&recomm=1&at=1&atopic=111&ptopic=1111&dpc=1></iframe> 该页面对refer_content过滤不严导致可以xss。导致会给使用该组件的其他网站带来点安全隐患。 漏洞证明:www.2cto.com 访问xxxxx/sina1. html ?s=</script><script>alert(document.domain)</script> 其代码为: <iframe src=http://widget.weibo.com/livestream/listlive.php?language=zh_cn&width=242&height=290&uid=1459831275&skin=1&refer=1&pic=1&titlebar=0&border=0&publish=1&atalk=1&recomm=1&at=1&atopic=111&ptopic=1111&dpc=1></iframe> 则弹出weibo的domain 修复方案: 安全编码 摘自d4rkwind@乌云
查看更多关于新浪微博直播组件反射型XSS漏洞及修复 - 网站安的详细内容...