哔哩哔哩网页端疑似曝出存储型XSS漏洞

heardic · 发表于 2025-1-15 11:58:03

您需要登录才可以下载或查看，没有账号？注册

×

目前攻击范围仅存在类魂游戏玩家之间，根据视频展示，攻击发生于视频加载后，可以猜测是加载网页的过程加载并执行了攻击脚本。

由于代码直接注入了b站网页，因此攻击脚本自然也可以带上b站的cookie调用b站api（从后端视角来看，这些请求完全是由客户端正常发起的），从而可以进行删视频等操作。

普通终端用户无法有效抵御，建议暂时改用客户端直到漏洞被修复。

btpan · 发表于 2025-1-15 12:33:45

用了这个漏洞，我登上了号主的号
https://www.bilibili.com/video/BV1TqcueYEhG/

dqs · 发表于 2025-1-15 16:22:00

表示没遇到过{:5_154:}

lon91ong · 发表于 2025-1-23 08:42:33

看样子应该把B站的密码降级处理了，以免泄露殃及其它

[安全] 哔哩哔哩网页端疑似曝出存储型XSS漏洞