巧用eval 进行xss攻击 — 优酷安全漏洞之未过滤HTML参数

iam3y.com | 安全 | 2014-12-04
巧用eval 进行xss攻击 — 优酷安全漏洞之未过滤HTML参数
某天闲的蛋疼逛了了优酷的一些页面,来到 http://minisite.youku.com/autobaojun/ ,看到有表单,就想输入玩玩。 点击我要参加,随便填 123 个表单,弹出浮层。 测试得知 姓名字段没有过滤。 但是输入 <img src=# onerror=alert(document.cookie) /> 之后会被截断到 30字符以内。所以,数据库字段设计在 30 字符以内,插入的时候自动截断... [阅读全文]
Ɣ回顶部