携程网主站XSS漏洞

最新推荐文章于 2024-08-12 23:48:23 发布
最新推荐文章于 2024-08-12 23:48:23 发布
阅读量4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124189959
版权

XSS漏洞 安全披露 漏洞修复 网络攻防 Web安全
关键词由CSDN通过智能技术生成

漏洞详情

披露状态:

2010-08-02: 细节已通知厂商并且等待厂商处理中
2010-08-02: 厂商已经确认,细节仅向厂商公开
2010-08-12: 细节向核心白帽子及相关领域专家公开
2010-08-22: 细节向普通白帽子公开
2010-09-01: 细节向实习白帽子公开
2010-09-06: 细节向公众公开

简要描述:

主站存在XSS,非存储

详细说明:

漏洞证明:

http://www.ctrip.com/rp/uiserver2.asp?action=<script>alert(/xss/)</script>

修复方案:

版权声明:转载请注明来源 霍家二爷@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【企业架构设计实战】技术架构设计指南
禅与计算机程序设计艺术
02-08 1万+
提到非功能性,技术架构可能涉及多个方面,如稳定性、可扩展性、一致性、可移植性、兼容性、可配置性、可降级性、可部署性、可发现性、故障透明性、容错性、可检验性、可安装性、完整性、可维护性、可管理性、模块性、可操作性、可恢复性、可靠性、重现性、弹性、可复用性、稳健性、安全性、可服务性、合规性、可持续性、可测试性、可追溯性等。很多企业在发展初期,在技术方面的投入并不大,主要以外采系统为主,包括CRM、MES、ERP、HR、PLM、SCM等系统,各个系统各自独立,各自有单独的数据库及权限管理。
JSP使用过滤器防止Xss漏洞
10-17
Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
傲游浏览器存在可信任路径漏洞
blackorbird的博客
10-24 629
问题不大,就是个小问题。事件描述EN:Maxthon Browser for Windows - Unquoted Search Path and Potential A...
遨游浏览器跨域域漏洞利用
swordheart的博客
04-13 839
漏洞详情 披露状态: 2010-07-21: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-04: 细节向第三方安全合作伙伴开放 1970-02-25: 细节向核心白帽子及相关领域专家公开 1970-03-07: 细节向普通白帽子公开 1970-03-17: 细节向实习白帽子公开 2010-08-21: 细节向公众公开 简要描述: 傲游浏览器是符合中国人使用习惯的多标签浏览器,拥有业界最优秀的在线收藏和广告过滤功能 。遨游浏览器在架构设计上
乌云平台发布:2014年最新十大安全风险!
yxy779的专栏
08-07 820
昨日, 乌云平台发布了2014年十大安全风险: 互联网泄密、不安全的第三方应用、 系统错误/逻辑错误带来的暴力破解、SQL注入、 XSS等成为2014年最大的安全风险。       No.1 互联网泄密事件/撞库攻击       以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方
Top 10 Security Risks for 2014
weixin_34087301的博客
03-08 78
瞌睡龙 · 2014/08/06 12:48information from WooYunA1-互联网泄密事件/撞库攻击以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,4...
Owasp Top 10 Security Risks for 2014
weixin_30298497的博客
06-02 75
A1-互联网泄密事件/撞库攻击 以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全 界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微 博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,...
API 客户端认证那些事.
weixin_34212189的博客
02-22 109
签名认证机制 1.设置key密钥。2.假设参数 appid:wx930ea5d5a258f4f much_id:10000100 device_info:1000 body:test nonce_str:iabuaiVckJ按照参数名ASCII字典排序。StringA="appid=wx930ea5d5a258f4f&body=t...
乌云首届安全峰会即将开幕
weixin_33985679的博客
09-06 182
本文讲的是 : 乌云首届安全峰会即将开幕 , 【IT168 资讯】8月21日消息,国内著名的安全漏洞平台乌云网,将在2014年9月12日在北京召开首次安全峰会。据悉,本次峰会的议题将围绕多个重要的安全领域开展深入探讨。和其他的安全会议不同,乌云借助自身在安全届的影响力,分别邀请了企业和白帽黑客两个阵营的重磅人士在现场分享。   邀请的企业嘉宾有被...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
XSS漏洞挖掘与安全防护.pdf
08-08
XSS相关漏洞一直是无法忽略的问题,即使再好的开发工程师也避免不了写出”不安全”的代码,这次议题将深入浅出的介绍一下XSS漏洞形成与危害。
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
《密码编码学与网络安全原理与实践》第九章 第十章 公钥密码学与密钥管理
m0_57291352的博客
08-09 1112
原则上不能说传统密码优于公钥密码,也不能说公钥密码优于传统密码公钥密码学仅限于用在密钥管理和签名这类应用中与密钥分配中心的会话过程既不比传统密码中的那些过程更简单,也不比之更有效动机:简化密钥分配和管理、实现签名等功能不对称性是公钥最为重要的性质,可以用来保证“真实”性,“不可否认”性非对称密钥:两个密钥:公钥和私钥,用来实现互补运算,即加密和解密,或者生成签名与验证签名;公钥证书:认证机构将用户的姓名和公钥绑定在一起,用户用自己的私钥对数字文件签名后,可以通过证书识别签名者,因为签名者是唯一拥有与证书上对
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 1031
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。
2401_84466359的博客
08-12 360
这个方向更符合于大部分人对“黑客”的认知,他们能够黑手机、黑电脑、黑网站、黑服务器、黑内网,万物皆可黑(当然是要有授权的,不然进橘子我可不管),这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
网络协议八 网络安全相关
最新发布
hunandede的博客
08-12 104
ARP欺骗的防护原理。
蓝屏事件:网络安全的启示
m0_67187271的博客
08-04 1537
这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。该事件突显了在快速迭代的软件更新周期中,充分的测试和评估的重要性。通过强化日志管理、质量管理、风险评估以及灾难恢复计划,结合冗余系统设计和自动化监控工具的应用,我们能够显著提高对类似大规模故障的预防能力和应对速度,为确保系统的稳定性和可靠性奠定坚实的基础。
DOM型XSS漏洞测试payload大全
XSS漏洞 DOM型测试 payload代码” 在网络安全领域,XSS(Cross-Site Scripting)漏洞是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而控制用户与网站的交互。DOM型XSSXSS漏洞的一种类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值