腾讯QQ空间的跨站漏洞介绍以及修复解决的方案(图)
QQ空间存在一处储存型跨站
详细说明:
QQ空间应用处有一个文件夹应用,该应用可以重命名文件名,正常情况下客户端是过滤了特殊字符的。
但是特殊字符仅仅在客户端做了过滤并没有在服务端 和输出端过滤。因此我们可以通过本地修改post内容绕过这一限制
点击确定产生post
(拦截post数据修改post内容)
将name值修改为"><"
回到QQ空间文件夹这时可以看到文件已经成功被重命名而且构造的"> 已经将titile标签阻断
虽然这里没有显示alert但是可以看到
详细说明:
QQ空间应用处有一个文件夹应用,该应用可以重命名文件名,正常情况下客户端是过滤了特殊字符的。
但是特殊字符仅仅在客户端做了过滤并没有在服务端 和输出端过滤。因此我们可以通过本地修改post内容绕过这一限制
点击确定产生post
(拦截post数据修改post内容)
将name值修改为"><"
回到QQ空间文件夹这时可以看到文件已经成功被重命名而且构造的"> 已经将titile标签阻断
虽然这里没有显示alert但是可以看到
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/websafe/loudongfenxi/149480.html
