哔哩哔哩网页端疑似曝出存储型XSS漏洞

heardic · 发表于 4 天前

您需要登录才可以下载或查看，没有账号？注册

×

目前攻击范围仅存在类魂游戏玩家之间，根据视频展示，攻击发生于视频加载后，可以猜测是加载网页的过程加载并执行了攻击脚本。

由于代码直接注入了b站网页，因此攻击脚本自然也可以带上b站的cookie调用b站api（从后端视角来看，这些请求完全是由客户端正常发起的），从而可以进行删视频等操作。

普通终端用户无法有效抵御，建议暂时改用客户端直到漏洞被修复。

btpanel · 发表于 4 天前

用了这个漏洞，我登上了号主的号
https://www.bilibili.com/video/BV1TqcueYEhG/

dqs · 发表于 4 天前

表示没遇到过