ThinkSNS某应用跨站脚本攻击，危害用户

admin · 发表于 2013-2-24 10:18:52

简要描述：

ThinkSNS某应用跨站脚本攻击，危害各种自愿上钩的用户

详细说明：

ThinkSNS发表日志可进行跨站脚本攻击，愿意看的都会中招
http://t.thinksns.com上进行测试

1.我们先随意插入一张网络图片

2.抓包，修改如下

3.发现document和cookie被滤掉了，但是测试location，果断成功

4.那就好办了，我们可以构造形如下面的链接（友情提示：这只是其中一种最直接的方式，不要滤了这种又不管其他了）

抓包修改

5.看下页面源码与效果
是的，插进去了，也跳转了

6.能干什么？看你怎么写脚本了~~~
所谓愿者上钩，就是想看这篇日志的都会上钩！！

漏洞证明：

见详细说明，话说既然是SNS，那就好好查查漏洞吧……

修复方案：

你比我懂！！

浅灬怅_-_正在输 · 发表于 2013-3-1 16:08:37

我来了~~~~~~~~~ 闪人~~~~~~~~~~~~~~~~

已落幕 · 发表于 2013-3-3 16:46:12

嘿嘿

我日你妈 · 发表于 2013-3-5 17:48:17

一个子没看懂

投钱投爱情、 · 发表于 2013-3-5 21:21:40

不错的东西持续关注

一身轻 · 发表于 2013-3-8 20:14:32

帮你项项吧

笑谈钟 · 发表于 2013-3-9 23:03:04

初来乍到，请多多关照。。。

你妹的 · 发表于 2013-3-10 08:04:23

来几句吧

吖鹏 · 发表于 2013-3-10 19:26:27

加油啊！！！！顶哦!!!!!支持楼主，支持你~

小肚肚 · 发表于 2013-3-11 04:01:06

初来乍到，请多多关照。。。