关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

腾讯应用平台XSS跨站漏洞可获得任意用户cookies

 feng 2013/02/26 17:51  620 ℃  0条点评

漏洞标题:腾讯应用平台XSS攻击指定任意用户

漏洞类型:xss跨站脚本攻击

危害等级:中

 

简要描述:

腾讯应用平台XSS,可以通过邮箱验证攻击指定用户。百发百中。

 

详细说明:

起因是这样的,公司名称处没有过滤特殊字符,导致可以直接输入XSS

既然单位名称没有做过滤,而填写信息后,腾讯会发送一封验证邮件到指定邮箱中,那么我们任意添加XSS语句后,针对特定的用户进行XSS攻击,也是可以实现的。

问题就出来了,应用平台验证的时候,会给指定用户发送验证邮件,邮件内容中就包含了我们之前输入的XSS语句,可导致攻击指定用户。

蠕虫神马的就不测试了,直接发出来吧。虽然肯定不会给礼物。

看图吧。

腾讯应用平台XSS跨站漏洞指定攻击任意用户

腾讯应用平台XSS跨站漏洞指定攻击任意用户

腾讯应用平台XSS跨站漏洞指定攻击任意用户

 

漏洞证明:

如上图。

 

修复方案:

过滤。还是过滤。

本文标签:
Thinksns2.8文件上传漏洞利用exp
服务器网站打包批量压缩php脚本
我是如何打造一款自动化SQL注入工具的我是如何打造一款自动化SQL注入工具的分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)某个商业定向攻击活动分析某个商业定向攻击活动分析

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码