pplive网站存在存储型跨站脚本漏洞

最新推荐文章于 2024-08-07 17:14:52 发布
最新推荐文章于 2024-08-07 17:14:52 发布
阅读量4k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124190254
版权
这篇博客揭示了2010年发现的一个存储型XSS漏洞,最初处于厂商认领阶段,后被厂商忽略并公开详情。漏洞利用方法涉及修改个性签名,攻击者通过注入脚本进行跨站脚本攻击。文章还包含了漏洞证明、修复方案和版权声明。
摘要由CSDN通过智能技术生成

漏洞详情

披露状态:

2010-08-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2010-08-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

存储型

详细说明:

登录后选择修改签名,个性签名一栏输入</dd><script>alert(/xss/)</script>,保存修改,返回个人中心首页触发

漏洞证明:

修复方案:

版权声明:转载请注明来源 霍家二爷@乌云

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
脚本漏洞
weixin_46729085的博客
09-08 3760
XSS漏洞 一、文章简介 XSS漏洞Web应用程序中最常见的漏洞之一。如果您的点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储XSS:&...
网络安全(二)脚本漏洞
江南落花雨
02-19 514
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 脚本漏洞
PPLIVE源代码泄露及两个struts命令执行漏洞
fengling132的专栏
05-10 511
配置不当导致网站源代码泄露   svn导致网站源代码泄露 http://home.pplive.com/.svn/text-base/SQLDao.jsp.svn-base 修复方案:http://www.xxx.com/Article/201203/124841.html home.pplive.com 很老的struts命令执行漏洞   pptv 商城 与passp
pplive网站2处存储弱点
swordheart的博客
04-17 4641
漏洞详情 披露状态: 2010-07-30: 积极联系厂商并且等待厂商认领中,细节不对外公开 2010-07-30: 厂商已经主动忽略漏洞,细节向公众公开 简要描述: pplive网站2处存储弱点。 详细说明: passport.pptv.com网站中的小纸条(内信)功能存在弱点。 标题、内容都可直接写入代码并发送信件,虽然标题有字数限制,但可以通过自己提交post包绕过。 经过验证,如果直接在标题中添加代码,受害者打开收件箱即触发! 可窃取用户cookie并仿冒用户登录
js特效脚本含源码和说明PPLive带左右翻页的焦点图
03-31
js特效脚本含源码和说明PPLive带左右翻页的焦点图本资源系百度网盘分享地址
PPlive无广告版
09-01
PPlive无广告版】是一款受到用户欢迎的在线视频播放软件,其主要特点是去除了常规版本中的广告插件,为用户提供更为纯净、流畅的观影体验。在介绍这款软件之前,我们首先要理解“PPlive”本身是什么。PPlive(现...
PPLive.exe
06-23
PPLive.exe
论文研究-PPLive通信机制与流量识别研究 .pdf
08-17
PPLive通信机制与流量识别研究,苗卉,,本文对PPLive的通信机制进行了深入研究,并在此基础上提出了基于流统计特征和静荷统计特征的PPLive流量识别方法,最后总结了本文的意
KanKan.rar_asp视频直播_pplive_直播_直播页面_视频播放
09-22
2.可以任意定制播放器,支持PPS,PPLIVE,QQLIVE等10多种视频播放 3.即可在线点播直播,又可以做BT种子或直接下载 4.赠送两套黑与白的皮肤风格,可无刷新改变风格 5.采用FCKeditor编辑器稳定版 6.内已有1000条PPS数据库...
web安全基础学习
m0_71332744的博客
07-31 592
记录学习的原理,少有实操持续更新
C++在网络安全领域的应用
2302_79331124的博客
08-04 978
总的来说,C++在网络安全领域的应用广泛且深入。其高性能、灵活性和对底层硬件的控制使其成为开发各种安全解决方案的理想选择。随着网络安全威胁的不断演变,C++将继续在保护数字世界的过程中发挥重要作用。如果你对网络安全感兴趣,学习和掌握C++无疑将为你的技术发展方面提供强大的助力。
网络安全(黑客)—自学手册
dexi113的博客
08-05 1253
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
web安全】权限漏洞之未授权访问
qq_70836100的博客
08-04 895
漏洞修复:1.设置防火墙策略,限定 IP 访问服务。2.在admin.system.users中添加用户,启动认证。漏洞修复:1.修改绑定的IP、端口和指定访问者IP。步骤二:进入执行页面http://xxx.xxx.xxx.xxx:xxxx/manage/script/index.php。漏洞修复:1.禁止使用root权限启动redis服务。漏洞修复:1.为ZooKeeper配置相应的访问权限。漏洞修复:1.开启身份验证,防止未经授权用户访问。stat:列出关于性能和连接的客户端的统计信息。
自学黑客(网络安全
2301_77160226的博客
08-05 7079
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全数字化转
2401_84466325的博客
08-04 780
从狭义层面来看,是指依托先进的数据处理技术,包括数据采集的全面性、数据治理的规范性、数据分析的深入性、数据关联的精准性以及数据应用的有效性,来直接应对并解决当前网络安全领域所面临的挑战与问题。这一过程不仅为网络安全工作的决策提供了坚实的数据基础与科学依据,还显著区别于传统网络安全模式——传统告警信息已不再是主导分析的核心数据,而是转变为辅助决策的参考信息,体现了网络安全分析重心的深刻转变与升级。而从广义视角审视,数字化网络安全则是围绕数据这一核心要素,构建了一个动态优化的安全生态体系。
网络安全知识核心20要点
2401_84488651的博客
08-04 1160
攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意SQL 被一起构造,并在数据库中执行。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-03 940
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
《密码编码学与网络安全原理与实践》第八章伪随机数与流密码
最新发布
m0_57291352的博客
08-07 756
伪随机数发生器PRNG,使用算法来生成随机数,算法是确定的,产生的序列并非统计随机的,但可以经受住随机性检测。取一个固定值称为种子作为输入,用一个确定的算法产生位输出序列,通过有反馈路径,由算法的部分结果反馈作为输入,而其他部分作为输出位。用1-256个字节(8-2048位)的可变长度密钥初始化一个256个字节的状态向量S,从始至终S包含从0-255所有的8位数,每产生一个k值,S中的元素个体就被重新置换一次。发生器的输出成为密钥流,密钥流和明文流的每一个字节进行按位异或运算,得到一个密文字节。
P2P网络技术解析:从BitTorrent到PPLive
尽管P2P技术在带宽利用上可能存在效率问题,由于数据分组的重复导致网络拥堵,但它提供的多路并行传输能力极大地提升了数据传输速度,使得P2P应用在用户体验上占据优势。 近年来,P2P应用的迅速增长对网络带宽的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值