查看: 1418|回复: 25

ThinkSNS某应用跨站脚本攻击,危害用户

[复制链接]
发表于 2013-2-24 10:18:52 | 显示全部楼层 |阅读模式
简要描述:

ThinkSNS某应用跨站脚本攻击,危害各种自愿上钩的用户

详细说明:

ThinkSNS发表日志可进行跨站脚本攻击,愿意看的都会中招
http://t.thinksns.com上进行测试

1.我们先随意插入一张网络图片

​


2.抓包,修改如下​


3.发现document和cookie被滤掉了,但是测试location,果断成功

​

4.那就好办了,我们可以构造形如下面的链接(友情提示:这只是其中一种最直接的方式,不要滤了这种又不管其他了)


​

抓包修改​

5.看下页面源码与效果
是的,插进去了,也跳转了​


6.能干什么?看你怎么写脚本了~~~
所谓愿者上钩,就是想看这篇日志的都会上钩!!

漏洞证明:

见详细说明,话说既然是SNS,那就好好查查漏洞吧……

修复方案:

你比我懂!!



发表于 2013-3-1 16:08:37 | 显示全部楼层
我来了~~~~~~~~~ 闪人~~~~~~~~~~~~~~~~  
发表于 2013-3-3 16:46:12 | 显示全部楼层
嘿嘿  
发表于 2013-3-5 17:48:17 | 显示全部楼层
一个子 没看懂  
发表于 2013-3-5 21:21:40 | 显示全部楼层
不错的东西  持续关注  
发表于 2013-3-8 20:14:32 | 显示全部楼层
帮你项项吧  
发表于 2013-3-9 23:03:04 | 显示全部楼层
初来乍到,请多多关照。。。  
发表于 2013-3-10 08:04:23 | 显示全部楼层
来几句吧  
发表于 2013-3-10 19:26:27 | 显示全部楼层
加油啊!!!!顶哦!!!!!支持楼主,支持你~  
发表于 2013-3-11 04:01:06 | 显示全部楼层
初来乍到,请多多关照。。。  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则