 |
淘宝Taobao跨站Xss漏洞技术分析(图) |
|
|
| 淘宝Taobao跨站Xss漏洞技术分析(图) |
|
| 作者:未知 文章来源:安全中国 点击数: 更新时间:2007-10-21 1:23:48 |
|
官方未修补此漏洞!
之前在淘宝买了东西。 现在淘宝给我发来邮件,说什么抽奖的。结果给我发现了两个bug!其中一个Bug,可引发 XSS 跨站脚本 和 钓鱼攻击
从邮件 链接到:
http://union.alipay.com/alipay/choujiang1/order.php
居然在这个页面出现一个这样的链接:
https://taobao.alipay.com/trade/query_trade_list.htm?sign_from=3000&nick=臭美小将军
不知道是故意还是怎么的。 这只是小问题,好戏还在后头呢!
淘宝XSS漏洞:
点击抽奖页面后,竟然发现 淘宝 用 url 来传递 html内容变量。和之前 某银行的漏洞一样!
程序代码
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=[xss]
测试代码:
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<script>alert(document.cookie)</script>
终于发现 测试人员的重要性了! 这个页面估计没怎么测试过就放出来了。 估计如果这个漏洞被利用上,又死不少人了!
|
|
| 新闻录入:郝丽 责任编辑:郝丽 |
|
|
上一篇新闻: 谷歌Gmail曝安全漏洞 邮件内容能被黑客获取
下一篇新闻: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
