房多多某处XSS可进入后台(3月份插的刚收到) | 您所在的位置:网站首页 › xss可以直接插键鼠吗 › 房多多某处XSS可进入后台(3月份插的刚收到) |
cookie恒久远,一颗永流传~~~ 房多多商户系统后台的xss 由于时间久远,具体的插入点已经找不到,不过厂商可以根据后台的业务方向或者从数据库中查询一下 script 等关键词,应该比较容易定位到。 收到的cookie
![]()
登陆后台 可查看客户信息,合同,修改房源/楼盘,优惠券等操作不深入测试了
![]()
![]()
![]()
![]()
如上 解决方案: 找到xss输入点 对输入点进行过滤 后台输出同时进行转义 |
CopyRight 2018-2019 实验室设备网 版权所有 |