频道栏目
首页 > 安全 > 网站安全 > 正文

海尔社区XSS漏洞可直接登录别人账号(进而可能登录APP控制用户智能设备)

2015-10-22 10:20:54         来源:WooYun  
收藏   我要投稿

1.首先要注册两个账号,一个用于xss,一个用于被害者,分别用两个浏览器登录两个账号,模拟两个用户


2.使得其中的一个账号给另一个账号发送私信,内容中插入xss



3.登录另一个账号查看私信

XSS已经执行

邮件收到了XSS拿到的COOKIE

4.使用拿到的cookie登录,登录成功

5.登录进去之后可以修改邮箱或者手机号进一步修改用户密码,修改邮箱、手机信息只验证新的不验证原来的,可直接修改



6.修改信息后即可通过忘记密码重设密码了之后就可以登录APP控制用户的设备啦(当然前提是用户绑定了设备)比较好的一个点子是去给版主发私信,然后在版主的贴子插入xss,这样只要进入论坛主页的用户,即可触发xss

不只是发私信有xss,所有使用该富文本插件的地方都可以插入xss,比如发贴处:

很抱歉发了个贴子,撞到管理员的后台

解决方案:

过滤

上一篇:REST API安全设计指南
下一篇:Dedecms 20150618 注入一枚(过防注入\可注入管理员账户)
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站