【反射型XSS】代刷网通用反射型XSS
根据昨天晚上挖的几个百度排行榜首,权1权2的代刷网。都发现了该XSS漏洞。虽然这里是利用js脚本弹窗
但是实际上我们可以用xss漏洞获取到站点管理员的cookie等等。
比如说你在站点标题里插入,管理员在后台管理分站的时候就可以看到,同理,也可以弹窗。也可以读cookie。
具体利用方式我这里不上了,我就检测一下,也不干坏事。
视频地址:https://b23.tv/av89051239
文档的话,各位可以看我论坛或者微步社区,msdn,我发到了这两个平台。
http://cdn.u1.huluxia.com/g3/M01/3B/22/wKgBOV5HUraASxENAAB1stQrAnM334.png
页:
[1]