网站地图    收藏   

主页 > 后端 > 网站安全 >

优酷资源管理系统V1.0的设计缺陷 - 网站安全 - 自

来源:自学PHP网    时间:2015-04-17 14:11 作者: 阅读:

[导读] /*前面那个安全问题提交快了,没看到还有这个,要不就合并一起提交了!*/使用这个页面直接饶过登录:http://tt.youku.com/admin/up.jsp当然是没有权限进行操作的,但可以通过修改USER这个参...

/*前面那个安全问题提交快了,没看到还有这个,要不就合并一起提交了!*/
 
使用这个页面直接饶过登录:http://tt.youku.com/admin/up.jsp
 
 
 
 



 
当然是没有权限进行操作的,但可以通过修改USER这个参数,使任意用户ID登录(这也太弱了,是谁做的系统啊?发现一些大公司的内部系统都这样!)
 
http://tt.youku.com/admin/main1.jsp?USER=admin
 
 
 
更不用说数据添加存储型XSS了! www.2cto.com
 
 
 
 
 不过系统好象好久没用了,不知道手机用户还能看到不?)
 
 
修复方案:

如果这样修改USER参数,都能形成反射型持久态XSS了(每次操作都能弹了!)(还有其他有意思的问题,如:把菜单项里屏蔽掉的url,添加到“资源名称”,就能正常访问了!)
 
 
http://tt.youku.com/admin/main1.jsp?USER=<script>alert(/xss/);</script>
 
 
 
 
 
 
 
哈哈!不知道怎么形容这个系统!可能是赶项目工期吧!
 
 
版权声明:转载请注明来源shine

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论