记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

拼范网存储型xss,可获取其他用户cookie以及密码,登陆并提现

2013-07-09 11:20
漏洞出现在拼范网的发布作品处,注册账号进入,然后发布作品,创建影集处以及照片描述处可插入xss代码,发布时给照片设定一个金额,发布完之后只要用户在交易平台打开我刚才发布的图片,用户cookie就被盗走,而且cookie中明文包含邮箱及用户名,md5加密的密码,只要解密就可以登录其他用户账户,在”我的账单“中还有提现功能。可以提取他人现金。 


用自己的账号登录发布作品,在创建相册处插入xss代码:
 
 
在相片描述处也可以插入xss代码:
 
 
插入xss代码之后的作品:
 
 
 
收到的cookie:
 
 
 
 
从上图可以看出用户邮箱为:hanyidoudou@163.com 登陆名为:hanyidoudou12014 MD5密码为:cf08b7e93f6c709a132b30d17880e14d 解密为:pinfun 
 
 
 
然后登陆
 
 
 
在”我的账单“中可以进行提现:(PS:这个账户上没钱我也没有提其他的)
 

修复方案:

加强字符过滤!
 
知识来源: www.2cto.com/Article/201307/226251.html

阅读:112838 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“拼范网存储型xss,可获取其他用户cookie以及密码,登陆并提现”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

推广

标签云