吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
楼主: laodan

[漏洞分析] 知乎XSS存储型漏洞利用及方式

[复制链接]
姬长信 发表于 2019-8-8 03:02
是不是公布太早了

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

whw0623 发表于 2019-8-8 07:52
laodan 发表于 2019-8-7 22:00
提交了,审核不通过,妈的,都说的很详细了一直不给过,最后给知乎管理说了。

审核不过就搞他,看他们注意还是不注意,你通过洞可以干的事危害很大,他们就知道厉害了
逗比大师 发表于 2019-8-8 07:54
楼主写的有点乱啊,先说知乎存储型漏洞有什么用,又说反射型不收。我看你这个位置在图片描述这里,讲道理这是存储型的啊,这个src没收么?
逗比大师 发表于 2019-8-8 07:59
姬长信 发表于 2019-8-8 03:02
是不是公布太早了

去知乎看了一下,楼主发了文章说2018/5/28已修复,去年的洞了
洪咸饭 发表于 2019-8-8 09:58
发现漏洞但还是很难有用
jnez112358 发表于 2019-8-8 10:07
来学习的,谢谢楼主,
王老吉先生 发表于 2019-8-8 10:14
whw0623 发表于 2019-8-8 07:52
审核不过就搞他,看他们注意还是不注意,你通过洞可以干的事危害很大,他们就知道厉害了

xss仅在理论上,在实际操作中,用处不大,可玩性低
 楼主| laodan 发表于 2019-8-8 11:07
王老吉先生 发表于 2019-8-8 10:14
xss仅在理论上,在实际操作中,用处不大,可玩性低

存储型漏洞的话可玩性还是不低的,比如我所说的这个漏洞,可以调用JS文件来实现吱口令自动复制,进行赚钱啊,行走在法律的边缘。
王老吉先生 发表于 2019-8-8 11:11
刚测试了一下

1、无法盗用cookie,所以无法获取敏感信息。
2、无法植入Flash,无法通过crossdomain权限设置进一步获取更高权限;不能利用Java等得到类似的操作。
3、无法利用iframe、frame、XMLHttpRequest以用户的身份执行一些管理动作,或执行一些一般的操作。
4、无法利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作
 楼主| laodan 发表于 2019-8-8 11:14
王老吉先生 发表于 2019-8-8 11:11
刚测试了一下

1、无法盗用cookie,所以无法获取敏感信息。

文章第一句话就是已经提交了漏洞,被修补了。我这个是去年的5月还是8月的一个漏洞,那个时候他们已经修补了。

一般XSS对网站的影响还是不太深的,当然盗CK,这处不在此列。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-9-23 21:24

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表