来源:自学PHP网 时间:2015-04-17 12:00 作者: 阅读:次
[导读] 汽车之家Andriod客户端反馈意见XSS漏洞杀进了汽车之家反馈后台,对一大群数据无爱亲,cookies里的_Admin是什么东西?1.下载汽车之家android的手机客户端,本人苦逼屌丝党,木有钱买车看看...
|
汽车之家Andriod客户端反馈意见XSS漏洞
杀进了汽车之家反馈后台,对一大群数据无爱 亲,cookies里的_Admin是什么东西? 1.下载汽车之家android的手机客户端,本人苦逼屌丝党,木有钱买车看看总行的!
 2.点击【更多】->【意见反馈】,可插入XSS代码,进行后台feedback盲打!
 3.不过一个小时,管理员就上钩了,好几个挖!
http://edit.autohome.com.cn/APPStatistics/Report/FeedBack.aspx
agent:
Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X; zh-cn) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS
cookie:
_Admin=o3DgtYZH8OXFWJBwFq/SxChLmmbC59NfDUgGwsYdPm9xvqOLBfeOadt5BRoI2qqV3kb60GGR6MBbAY5k9lBoY9xKKd7aAEnE5ir6PbsAZIFZOCXr/7FAloB/z+PgUr3I5m+Z+G8yg5APcyq3twdUDtrX3IE5+d+AVKrb8mKDKOsvi8RYmVcsgBmAwlj8D90GIZu4Oztc6zU-
4.不多说,进入后台截个图留念。表示风萧萧到此一游!  修复方案:
1.后台禁止对外开放,或者做好ACL; 2.xss做好防范
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
