jiathis分享插件存在XSS安全问题来自#补天漏洞平台#
补天最近接到有白帽子反馈jiathis的分享插件存在一个xss的安全问题,且多数网站是直接调用http://www.jiathis.com 的分享插件代码
最后会加载引用http://www.jiathis.com/code/swf/m.swf文件导致使用的网站存在相应的安全问题
经过搜索发现存在37893个网站使用了该分享插件
存在问题的代码如下:
ExternalInterface.addCallback("writeSharedObject",this.writeSharedObject);
攻击者能利用这一弱性,构造好一个特殊页面给受害者,受害者浏览过后,会设置一个SharedObject数据存储在用户的本地硬盘上,功能类似浏览器的cookie[生病]
所以当用户以后再次浏览到加载了jiathis分享插件的网站时,JavaScript代码就被执行了[霹雳]
[奥特曼]提醒浏览的用户防范如下[奥特曼]:
flash全局设置-站点的本地存储设置-添加www.jiathis.com 选择:阻止 添加
附上测试方式
1、首先访问:http://xsst.sinaapp.com/poc/flash/jiathis.htm
2、再访问存在jiathis代码的网站。
【测试方法来自PKAV团队gainover】
网络尖刀小编友情提醒
该XSS漏洞不只影响到Jiathis,同理该XSS漏洞也影响 友言、友荐,希望大家做好代码替换工作,避免遭受损失。
经过搜索发现存在37893个网站使用了该分享插件
存在问题的代码如下:
ExternalInterface.addCallback("writeSharedObject",this.writeSharedObject);
攻击者能利用这一弱性,构造好一个特殊页面给受害者,受害者浏览过后,会设置一个SharedObject数据存储在用户的本地硬盘上,功能类似浏览器的cookie[生病]
所以当用户以后再次浏览到加载了jiathis分享插件的网站时,JavaScript代码就被执行了[霹雳]
[奥特曼]提醒浏览的用户防范如下[奥特曼]:
flash全局设置-站点的本地存储设置-添加www.jiathis.com 选择:阻止 添加
附上测试方式
1、首先访问:http://xsst.sinaapp.com/poc/flash/jiathis.htm
2、再访问存在jiathis代码的网站。
【测试方法来自PKAV团队gainover】
网络尖刀小编友情提醒
该XSS漏洞不只影响到Jiathis,同理该XSS漏洞也影响 友言、友荐,希望大家做好代码替换工作,避免遭受损失。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![羽生三未:困了嘛?一起来睡个午觉吧[可爱]](https://imgs.knowsafe.com:8087/img/aideep/2021/6/29/73512e0d2b98520ee204df8e12868fa8.jpg?w=250)
![兔丸崽崽:下次看我视频能不能别艾特你女朋友(真想一jio给你踹飞[微笑] ](https://imgs.knowsafe.com:8087/img/aideep/2021/7/5/22eca5e5bc8f1806e96359ace7715355.jpg?w=250)
HackerEye
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平会见马来西亚总理安瓦尔 7934648
- 2 轰6k机舱门上挂着朴实无华的U型锁 7914734
- 3 多名运动员为王楚钦发声 7854111
- 4 微视频|我的名字 7733291
- 5 网友疑似过敏发现蘑菇在释放孢子 7639893
- 6 福布斯2024中国内地富豪榜公布 7514632
- 7 马斯克接受采访中儿子突然闯进来 7437942
- 8 外交部回应特朗普涉台言论 7334879
- 9 张小寒爆料黄晓明叶珂分手费内幕 7291653
- 10 TikTok加拿大业务被令终止 7195113
