记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

通达OA日志内容存储型XSS 可获取cookie

2013-02-23 13:35
通达OA2013和2010版本,Office Anywhere 2013工作日志编辑页面存在存储型XSS,上级领导查看日志后能,可窃取到cookie

1、工作日志编辑页面 源码 绕过bypass 字符可构造XSS!
 
 
1、截取到得cookie
 
 
2、利用Cookie Injector 在支持同源策略条件下,替换cookie 登陆到Cookie用户ceshi2.
 
 
修复方案:

1、工作日志内容编辑页面过滤
2、http-only

知识来源: www.2cto.com/Article/201302/190749.html

阅读:89612 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“通达OA日志内容存储型XSS 可获取cookie”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云