孔夫子旧书网搜索XSS漏洞一枚
2014-09-05 14:17
375 查看
XSS不熟,目前只是会简单的,而且是看了群里某个人演示sina爱问的时候,受到启发发现漏洞的,已通知网站管理员修复了。
网址:http://www.kongfz.com/
发现在搜索以后,会在title里出现搜索的内容,而且html没有过滤,所以直接输入
"><script>alert(document.cookie)</script>点搜索则可以
很多人都觉得XSS无所谓,但是获取了管理员cookie以后,则可以为所欲为了。。其他xss的方式还不知道,希望能一起交流。
漏洞发乌云了,审核没通过,理由居然是
网站被攻击,往往总是觉得无所谓,觉得问题太小不注意造成,现在对乌云越来越失望了。提交的漏洞里,小网站的漏洞不管再怎么严重,也不会通过的(百度权重2-3的)
个人QQ群:252799167
网址:http://www.kongfz.com/
发现在搜索以后,会在title里出现搜索的内容,而且html没有过滤,所以直接输入
"><script>alert(document.cookie)</script>点搜索则可以
很多人都觉得XSS无所谓,但是获取了管理员cookie以后,则可以为所欲为了。。其他xss的方式还不知道,希望能一起交流。
漏洞发乌云了,审核没通过,理由居然是
网站被攻击,往往总是觉得无所谓,觉得问题太小不注意造成,现在对乌云越来越失望了。提交的漏洞里,小网站的漏洞不管再怎么严重,也不会通过的(百度权重2-3的)
个人QQ群:252799167
相关文章推荐
- 一个搜索引擎中的反射XSS 预防和防御跨站漏洞 Web安全展望
- XSS漏洞演示
- 一款用于发现SSRF、XXE、XSS漏洞的小工具
- [典型漏洞分享]一个典型的XSS盲打漏洞可导致全网用户cookie被盗取
- 分享一个网站网站防火墙。功能说明:防护XSS,SQL,代码执行,文件包含等多种高危漏洞
- XSS漏洞总结
- XSS(跨站漏洞)挖掘
- 浅析新浪微博Web蠕虫事件 XSS漏洞
- XSS漏洞分析
- 使用拦截器Filter修补输入框的xss漏洞
- 【原】希望ol官网xss漏洞
- xss漏洞利用
- 利用XSS注入漏洞能对网站做什么
- 关于如何寻找xss漏洞并绕过限制
- 基于DOM的XSS注入漏洞简单解析
- magento < 1.9 xss 漏洞修复说明
- XSS漏洞挖掘 - CSS编码和反斜杠的三个技巧
- 新浪微博ios客户端xss漏洞
- 演示XSS漏洞攻击 | 发帖如何提交javascript代码
- XSS漏洞解决方案之一:过滤器