网易云阅读Android版意见反馈XSS - 网站安全 - 自学

网易云 阅读 Android 版，在意见反馈联系方式那里，填上跨站代码，即可跨~

自己发的留言

 

 

 

Cookies.

 

 

 

目测该用户是管理员

 

 

 

 

 

 

并且还有Email地址、还有密码，就进去了。

 

 

 

发了封邮件给自己~

 

 

 

----------

补充：

 

突然发现从得到的帐号密码的影响反馈还可以进一步扩大。

 

 

修复方案： 后台不对外开放

FIX XSS~

 

End....

 

查看更多关于网易云阅读Android版意见反馈XSS - 网站安全 - 自学的详细内容...