51CTO微博活动XSS
(上次我发的XSS+CSRF 51cto确实给少rank了 跟51cto说好了 以后都要给我多点rank 补回 嘻嘻)
发起个活动
填写好信息 挟持数据包
event_pic
处
改包 改成跨站代码
event_pic=<script>alert(document.cookie)</script>
修复方案 :
过滤
这次我没插入获取用户cookie的代码 要是插入我想。。。
微博的交换性很高 而且这个发起互动后直接就在首页显示了
http://t.51cto.com/index.php?m=event
后果不堪设想
查看更多关于51CTO微博持久型XSS - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14281