搜索
奶昔论坛»板块 交流 情报 哔哩哔哩网页端疑似曝出存储型XSS漏洞
查看: 478|回复: 3

哔哩哔哩网页端疑似曝出存储型XSS漏洞

[复制链接]
heardic
发表于 2025-1-15 11:58:03 来自手机 | 显示全部楼层 |阅读模式

厌倦了滚动浏览相同的帖子?当您创建帐户后,您将始终回到您离开的地方。注册帐户,不仅可以享受无广告的清爽界面!

您需要 登录 才可以下载或查看,没有账号?注册

×
目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。

1000016425.jpg
       
由于代码直接注入了b站网页,因此攻击脚本自然也可以带上b站的cookie调用b站api(从后端视角来看,这些请求完全是由客户端正常发起的),从而可以进行删视频等操作。
       
普通终端用户无法有效抵御,建议暂时改用客户端直到漏洞被修复。
攻击, 视频, 加载, 可以, 网页
爱生活,爱奶昔~
回复

使用道具 举报

btpanel
发表于 2025-1-15 12:33:45 来自手机 | 显示全部楼层
用了这个漏洞,我登上了号主的号
https://www.bilibili.com/video/BV1TqcueYEhG/
爱生活,爱奶昔~
回复 支持 反对

使用道具 举报

dqs
发表于 2025-1-15 16:22:00 | 显示全部楼层
表示没遇到过
[发帖际遇]: dqs 在网吧通宵,花了 3 点数. 幸运榜 / 衰神榜
爱生活,爱奶昔~
回复 支持 反对

使用道具 举报

lon91ong
发表于 2025-1-23 08:42:33 | 显示全部楼层
看样子应该把B站的密码降级处理了,以免泄露殃及其它
[发帖际遇]: lon91ong 乐于助人,奖励 7 金币. 幸运榜 / 衰神榜
爱生活,爱奶昔~
回复 支持 反对

使用道具 举报

返回列表 发新帖

Powered by Nyarime. Licensed

GMT+8, 2025-2-5 16:36 , Processed in 0.072347 second(s), 27 queries , Gzip On, Redis On
发帖际遇 ·手机版 ·小黑屋 ·RSS ·奶昔网 | 沪ICP备13020230号-1 |  沪公网安备 31010702007642号

登录切换风格
 快速回复 返回顶部 返回列表