1、人人广告系统中,由于权限设置存在缺陷,可以访问并随意修改任意用户以及企业广告。
2、首先在首页中找到广告的链接,通过分析广告的ID号就在此连接中,如此广告url链接:
其中aid=1000082335000100001的1000082335就是其广告ID号
3、现在就可以直接访问这个广告了,url地址:
4、对于广告的开启,关闭,删除等操作都因权限问题失败。
但是有一个地方漏了,我们可以修改这个广告,现在可以来修改这个广告试试看看:
5、修改了他的广告名称,每日预算,截止时间。而且不可思议的是,在广告名称中可以直接插入xss,如图所示修改成功:
6、看看源代码,xss code直接插入了:
7、后面就不敢在玩了,因为这些广告都是在首页显示的,修改内容太大会惹麻烦,这是移动的广告,后面就不在深入了,怕人人封我号。。。
修复方案: 控制权限,过滤。
查看更多关于人人广告系统任意广告修改&&存储型xss -的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14067