去哪资源站中的flash可造成xss造成跨站,可被利用做钓鱼,窃取cookies。 详细说明: 去哪儿资源站http://source.qunar.com中的falsh文件clickTag参数均为进行过滤而且直接展示在网址中,更改参数可造成跨站,钓鱼等。 漏洞 证明: 这是其中一处,其余的flash均能跨站 修复方案: 将clickTag参数写入flash中。
查看更多关于去哪网站flash资源xss漏洞及修复 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did12085