- 对会员发布信息没过滤,可直接插入xss
注册个用户,直接到会员管理后台点发布相册
在公司名称写入<script都行…
然后就等管理人员上来,这边就收COOKIE了
这里显示的后台是 http://upload.oodii.com/admin/queryCorps.action
扫一下,后台真实地址是http://upload.oodii.com/admin/admin.jsp
然后用上我们的COOKIE就能登上了。
修复方案:
貌似网站对输入都没做过多的过滤,好多地方能xss…管理员多看看
转载请注明:jinglingshu的博客 » 好的网存储型XSS,可获取后台部份管理权限