文本内容:
Yupoo的XSS破绽攻击实录脚本平安电脑资料手气不错声明此破绽已经提交到Yupoo官方,偶尔的时机发现Yupoo线上某页面有个XSS破绽,它能执行任意的前端代码破绽产生的原因主要有两点,首先是表单虽然定为POST方法,但尝试后发现GET参数也可以接收的;其次,也是最致命的是,输入的参数没有经过任何的转义和过滤,就被参加到了页面中于是插入了相应的Javascript.代码,并构成了XSS(参看图中input参数后面的value已经构成了script.标签)弹出个alert框似乎并不能说明什么问题,最好能使它发挥威力于是构建了个Javascript.脚本传递客户端的cookie到本人的效劳器环境Javascript.脚本可以简单的这样写然后效劳器端使用PHP简单写了个脚本保存Cookie数据接下来就属于社会学的范畴,我在上发了信息并“引诱”朋友们去点击伪造后的连接(我成认很猥琐),不一会就搜集了某兄弟的Cookie,于是将其Cookie内容填到了本地阅读器上(谢天谢地,Yupoo的Cookie不是很多)再次刷新阅读器,已经使用该用户的帐号登陆了(即便此时我还不知道他的密码)最后,使用此帐户发张本人的艳·照,纪念下…--Update--截止xx-01-1416:25Yupoo已经修复了此破绽,效率真高!赞!--Split--上述攻击的手段,仅仅是从个不起眼的XSS破绽开场XSS虽然发现快、修补也很方便,但从根本上防止还是个值得研究的课题Web
2.0大潮已降,前端正在改变这这个世界前端代码的平安问题,是每个前端从业人员必须去面对和注意的模板内容仅供参考 。