哔哩哔哩网页端疑似曝出存储型XSS漏洞
目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也可以带上b站的cookie调用b站api(从后端视角来看,这些请求完全是由客户端正常发起的),从而可以进行删视频等操作。
普通终端用户无法有效抵御,建议暂时改用客户端直到漏洞被修复。 用了这个漏洞,我登上了号主的号
https://www.bilibili.com/video/BV1TqcueYEhG/ 表示没遇到过{:5_154:} 看样子应该把B站的密码降级处理了,以免泄露殃及其它
页:
[1]