简要描述:ThinkSNS某应用跨站脚本***,危害各种自愿上钩的用户详细说明:ThinkSNS发表日志可进行跨站脚本***,愿意看的都会中招http://t.thinksns.com上进行测试1.我
.
简要描述:
ThinkSNS某应用跨站脚本***,危害各种自愿上钩的用户
详细说明:
ThinkSNS发表日志可进行跨站脚本***,愿意看的都会中招
http://t.thinksns.com上进行测试
1.我们先随意插入一张网络图片
2.抓包,修改如下
3.发现document和cookie被滤掉了,但是测试location,果断成功
.
..4.那就好办了,我们可以构造形如下面的链接(友情提示:这只是其中一种最直接的方式,不要滤了这种又不管其他了)
. .
抓包修改
5.看下页面源码与效果
是的,插进去了,也跳转了
6.能干什么?看你怎么写脚本了~~~
所谓愿者上钩,就是想看这篇日志的都会上钩!!
漏洞证明:http://www.777avia.com
见详细说明,话说既然是SNS,那就好好查查漏洞吧……
..