汽车之家Andriod客户端反馈意见XSS 漏洞 杀进了汽车之家反馈后台,对一大群数据无爱 亲,cookies里的_Admin是什么东西?
1. 下载 汽车之家android的手机客户端,本人苦逼屌丝党,木有钱买车看看总行的!
2.点击【更多】->【意见反馈】,可插入XSS代码,进行后台feedback盲打!
3.不过一个小时,管理员就上钩了,好几个挖!
http://edit.autohome测试数据.cn/APPStatistics/Report/FeedBack. asp x
agent:
Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X; zh-cn) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS
cookie:
_Admin=o3DgtYZH8OXFWJBwFq/SxChLmmbC59NfDUgGwsYdPm9xvqOLBfeOadt5BRoI2qqV3kb60GGR6MBbAY5k9lBoY9xKKd7aAEnE5ir6PbsAZIFZOCXr/7FAloB/z+PgUr3I5m+Z+G8yg5APcyq3twdUDtrX3IE5+d+AVKrb8mKDKOsvi8RYmVcsgBmAwlj8D90GIZu4Oztc6zU-
4.不多说,进入后台截个图留念。表示风萧萧到此一游!
修复方案: 1.后台禁止对外开放,或者做好ACL;
2.xss做好防范
查看更多关于汽车之家Andriod客户端反馈意见XSS漏洞 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13323