跨站本身没什么技术含量,但是可直接攻击客服和部分网站用户等级定为高。 详细说明:在个人后台个人信息修改时可对用户名和真实姓名进行修改,表面上看已经对部分恶意字符做了处理。实际抓包重新提交是可以绕过的。由于相关字段有长度做了限制,但是还是能做一些动作的。
<script>window.close()</script> <iframe src=http://t.cn/zlZLE2P> 这也就足够了。 由于网站有提问和发布转让信息的功能,客服会直接中招。
修复方案: 转译转译
查看更多关于嘀嗒团个人信息维护跨站漏洞 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13419