闲着无聊测试的 PS 我发的 漏洞 有好多都没审核啊,啥情况啊........刚刚接触CSRF.求交流
51比购网储存型XSS&CSRF加关注
比购社区 论坛 处发帖
任意插入一张图片
然后发帖 抓包
http://www.51bi.com/space/addusertrr.jhtml?userid=57366852 这个是加关注url
onload事件弹框
然后发送出去
成功弹框,成功添加关注
因为之前多次发帖测试,管理貌似关了发帖的功能了,在这里不能截图,也向管理道个歉
还有一处反射性xss
http://www.51bi.com/space/biuser/login. jsp ?currentUrl=%22/%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E;//
查看更多关于51比购网储存型XSS&CSRF加关注 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14278