【漏洞】酷狗存在严重的XSS和Url跳转漏洞

博主补充：

    你就没有测试一下发图片的地方么？非要搞得那么复杂。哎~

    哎，这种垃圾漏洞，哎，不想多说什么了，太简单了：

    同时演示XSS和Url跳转：
    1.插入图片
    2.网络地址处填写：javascript:alert(/Nuclear'Atk 2010-8-27 4:02:33/);location.href='https://lcx.cc/'
    3.可以执行任意java代码。

--------------------------------------------------------------------------------

漏洞概要： 酷狗存在严重的XSS和Url跳转漏洞
缺陷编号： WooYun-2010-00308
漏洞标题： 酷狗播放试听专区XSS
相关厂商： 酷狗
提交时间： 2010-08-26
公开时间： 2010-08-26
漏洞类型： 跨站脚本攻击
危害等级： 高

--------------------------------------------------------------------------------
漏洞详情
--------------------------------------------------------------------------------
简要描述：
    酷狗播放试听专区XSS

详细说明：
    用户可以发帖时应用插件音乐链接时插入恶意代码，用户浏览器被攻击者控制，从而达到攻击者的特殊目的，得到管理员信息。

漏洞证明：
    XSS测试页面：http://www.kugou.com/service/View.aspx?SubjectID=269839&page=1
    Url跳转漏洞：http://sdn.kugou.com/link.aspx?id=3480&url=https://lcx.cc/

修复方案：
    对连接地址进行认证/过滤，并进行Html转义字符后输出

漏洞反馈：
    已经提交给官方，等待修复。
--------------------------------------------------------------------------------