XSS不熟,目前只是会简单的,而且是看了群里某个人演示sina爱问的时候,受到启发发现漏洞的,已通知网站管理员修复了。
发现在搜索以后,会在title里出现搜索的内容,而且html没有过滤,所以直接输入
"><script>alert(document.cookie)</script>点搜索则可以
很多人都觉得XSS无所谓,但是获取了管理员cookie以后,则可以为所欲为了。。其他xss的方式还不知道,希望能一起交流。
漏洞发乌云了,审核没通过,理由居然是
网站被攻击,往往总是觉得无所谓,觉得问题太小不注意造成,现在对乌云越来越失望了。提交的漏洞里,小网站的漏洞不管再怎么严重,也不会通过的(百度权重2-3的)
本文转自 3147972 51CTO博客,原文链接:http://blog.51cto.com/a3147972/1549218,如需转载请自行联系原作者
