哔哩哔哩网页端疑似曝出存储型XSS漏洞
目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也可以带上b站的cookie调用b站api(从后端视角来看,这些请求完全是由客户端正常发起的),从而可以进行删视频等操作。
普通终端用户无法有效抵御,建议暂时改用客户端直到漏洞被修复。
来源:视频《为什么我建议别用B站网页端了(攻击指定b站账号)》
via 方 颕僚
📮投稿 ☘️频道 🌸聊天
目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也可以带上b站的cookie调用b站api(从后端视角来看,这些请求完全是由客户端正常发起的),从而可以进行删视频等操作。
普通终端用户无法有效抵御,建议暂时改用客户端直到漏洞被修复。
来源:视频《为什么我建议别用B站网页端了(攻击指定b站账号)》
via 方 颕僚
📮投稿 ☘️频道 🌸聊天
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: