请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 2944|回复: 85

[原创文章] ITeye技术网站两处存储型XSS漏洞,可打Cookie

  [复制链接]
  • TA的每日心情
    开心
    2016-2-2 20:06
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2016-7-29 13:33:49 | 显示全部楼层 |阅读模式
    0x00  引子
    之前在ITeye上写过一段时间博客,最近刚好在看《xss跨站脚本攻击剖析与防御》这本书,就拿ITeye练个手。结果,一分钟内发现两处XSS漏洞,也是醉了……

    0x01 POC
    这两个漏洞都在发表文章页面内,需要先登录。
    Catch.jpg

    登录之后,进入发表文章页面。该页面存在两处XSS,第一处在标题处,标题内加上<script>alert(1)</script>即可跨。
    博客分类和正文中直接<script>alert('xss')</script>不能跨。
    游客,如果您要查看本帖隐藏内容请回复
    接下来是标题处的XSS。

    CatchF86D.jpg
    0x02 结语
    一定要过滤!






    回复

    使用道具 举报

  • TA的每日心情

    6 天前
  • 签到天数: 68 天

    [LV.6]常住居民II

    发表于 2016-7-29 13:40:39 | 显示全部楼层
    ........;P;P;P
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-3-13 20:33
  • 签到天数: 95 天

    [LV.6]常住居民II

    发表于 2016-7-29 13:47:36 | 显示全部楼层
    能不那么吊吗?
  • TA的每日心情
    奋斗
    3 小时前
  • 签到天数: 215 天

    [LV.7]常住居民III

    发表于 2016-7-29 14:05:05 | 显示全部楼层
    我来看看我来看看我来看看
  • TA的每日心情
    奋斗
    7 天前
  • 签到天数: 102 天

    [LV.6]常住居民II

    发表于 2016-7-29 14:20:04 | 显示全部楼层
    学习学习xss
  • TA的每日心情
    开心
    2016-12-4 16:52
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-7-29 14:23:59 | 显示全部楼层
    《xss跨站脚本攻击剖析与防御》这本书不错,讲得很细致。
  • TA的每日心情
    开心
    6 小时前
  • 签到天数: 250 天

    [LV.8]以坛为家I

    发表于 2016-7-29 14:35:42 | 显示全部楼层
    储型XSS漏洞 学习学习
  • TA的每日心情

    1 小时前
  • 签到天数: 278 天

    [LV.8]以坛为家I

    发表于 2016-7-29 14:42:02 | 显示全部楼层
    两处存储型XSS漏洞
  • TA的每日心情
    难过
    4 小时前
  • 签到天数: 234 天

    [LV.7]常住居民III

    发表于 2016-7-29 14:44:37 | 显示全部楼层
    感觉大牛们挖洞好简单,然而自己…
  • TA的每日心情

    2017-2-1 10:19
  • 签到天数: 52 天

    [LV.5]常住居民I

    发表于 2016-7-29 15:45:58 | 显示全部楼层
    看一看,学习学习
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-3-24 23:57 , Processed in 0.242544 second(s), 40 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表