盈讯足球比分网|华体足球比分直播|
关注我们
QRcode 邮件联系 QRcode

腾讯应用平台XSS跨站漏洞可获得任意用户cookies

 feng 2013/02/26 17:51  1,672 ℃  0条点评

漏洞标题:腾讯应用平台XSS攻击指定任意用户

漏洞类型:xss跨站脚本攻击

危害等级:中

 

简要描述:

腾讯应用平台XSS,可以通过邮箱验证攻击指定用户。百发百中。

 

详细?#24471;鰨?/p>

起因是这样的,公司名称处没有过滤特殊字符,导致可以直接输入XSS

既然单位名称没有做过滤,而填写信息后,腾讯会发送一封验证邮件到指定邮箱中,那么我们任意添加XSS语句后,针对特定的用户进行XSS攻击,也是可以实现的。

问题?#32479;?#26469;了,应用平台验证的时候,会给指定用户发送验证邮件,邮件内容中就包含了我们之前输入的XSS语句,可导致攻击指定用户。

蠕虫神马?#26408;?#19981;测试了,直接发出来吧。虽然肯定?#25442;?#32473;礼物。

看图吧。

腾讯应用平台XSS跨站漏洞指定攻击任意用户

腾讯应用平台XSS跨站漏洞指定攻击任意用户

腾讯应用平台XSS跨站漏洞指定攻击任意用户

 

漏洞证明:

如上图。

 

修复方?#31119;?/p>

过滤。?#25925;?#36807;滤。

本文标签:
Thinksns2.8文件上传漏洞利用exp
服务器网站打包批量压缩php脚本
Joy:一款用于捕获和分析网络内部流量数据的工具Joy:一款用于捕获和分析网络内部流量数据的工具One-Lin3r:懒人的福音,渗透测试单行化工具One-Lin3r:懒人的福音,渗透测试单行化工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具国产网站恶意代码监测(网马监控)工具优化版国产网站恶意代码监测(网马监控)工具优化版

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


盈讯足球比分网
pk10冠亚和341819技巧 双色球历史记录搜索 极速飞艇怎么下载 福建11选5稳赚的方法 腾讯欢乐斗地主正版 北京十一选五开奖走势图 kk棋牌如何下载 股票推荐买入 澳洲幸运10开奖视频 大学生股票分析范文