盈讯足球比分网|华体足球比分直播|
關注我們
QRcode 郵件聯系 QRcode

騰訊應用平臺XSS跨站漏洞可獲得任意用戶cookies

 feng 2013/02/26 17:51  1,821 ℃  0條點評

漏洞標題:騰訊應用平臺XSS攻擊指定任意用戶

漏洞類型:xss跨站腳本攻擊

危害等級:中

 

簡要描述:

騰訊應用平臺XSS,可以通過郵箱驗證攻擊指定用戶。百發百中。

 

詳細說明:

起因是這樣的,公司名稱處沒有過濾特殊字符,導致可以直接輸入XSS

既然單位名稱沒有做過濾,而填寫信息后,騰訊會發送一封驗證郵件到指定郵箱中,那么我們任意添加XSS語句后,針對特定的用戶進行XSS攻擊,也是可以實現的。

問題就出來了,應用平臺驗證的時候,會給指定用戶發送驗證郵件,郵件內容中就包含了我們之前輸入的XSS語句,可導致攻擊指定用戶。

蠕蟲神馬的就不測試了,直接發出來吧。雖然肯定不會給禮物。

看圖吧。

騰訊應用平臺XSS跨站漏洞指定攻擊任意用戶

騰訊應用平臺XSS跨站漏洞指定攻擊任意用戶

騰訊應用平臺XSS跨站漏洞指定攻擊任意用戶

 

漏洞證明:

如上圖。

 

修復方案:

過濾。還是過濾。

本文標簽:
Thinksns2.8文件上傳漏洞利用exp
服務器網站打包批量壓縮php腳本
Joy:一款用于捕獲和分析網絡內部流量數據的工具Joy:一款用于捕獲和分析網絡內部流量數據的工具One-Lin3r:懶人的福音,滲透測試單行化工具One-Lin3r:懶人的福音,滲透測試單行化工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具EvilURL v2.0一個生成用于釣魚攻擊的IDN域名的工具國產網站惡意代碼監測(網馬監控)工具優化版國產網站惡意代碼監測(網馬監控)工具優化版

已有0條評論,歡迎點評!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

國際慣例, 沙發拿下 . . .


注冊帳號  |  忘記密碼
盈讯足球比分网
2011年香港赛马会 棒球护臂英文 520彩票游戏 喜乐彩能中奖吗 福彩新快3怎么玩 天津十一选五期 双色球怎么看中奖 广西快三计划网站 极速11选5开奖网站 广东时时彩任选2