jiathis分享插件存在XSS安全问题来自#补天漏洞平台#

技术 作者:HackerEye 2015-03-25 13:38:32 阅读:426
补天最近接到有白帽子反馈jiathis的分享插件存在一个xss的安全问题,且多数网站是直接调用http://www.jiathis.com 的分享插件代码 最后会加载引用http://www.jiathis.com/code/swf/m.swf文件导致使用的网站存在相应的安全问题 722cb9a9jw1eqi78ynsepj20ni0guafi 经过搜索发现存在37893个网站使用了该分享插件 722cb9a9jw1eqi79f2333j20yl0gpagu 存在问题的代码如下: ExternalInterface.addCallback("writeSharedObject",this.writeSharedObject); 722cb9a9jw1eqi79vqqsgj20pd0ks449 攻击者能利用这一弱性,构造好一个特殊页面给受害者,受害者浏览过后,会设置一个SharedObject数据存储在用户的本地硬盘上,功能类似浏览器的cookie[生病] 722cb9a9jw1eqi7a89hxbj209y05y74q 722cb9a9jw1eqi7afx1ezj20dm06rmye 所以当用户以后再次浏览到加载了jiathis分享插件的网站时,JavaScript代码就被执行了[霹雳] 722cb9a9jw1eqi7au9jrtj20b401jglq 722cb9a9jw1eqi7b4qpyqj215y0nw12u [奥特曼]提醒浏览的用户防范如下[奥特曼]: flash全局设置-站点的本地存储设置-添加www.jiathis.com 选择:阻止 添加 722cb9a9jw1eqi7h3dye9j20eb0dzq4l 附上测试方式 1、首先访问:http://xsst.sinaapp.com/poc/flash/jiathis.htm 2、再访问存在jiathis代码的网站。 【测试方法来自PKAV团队gainover】 网络尖刀小编友情提醒 该XSS漏洞不只影响到Jiathis,同理该XSS漏洞也影响 友言、友荐,希望大家做好代码替换工作,避免遭受损失。 友言 友荐

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

选择AiDeep,让人工智能为你工作:http://www.aideep.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接