9158.com配置失误致2处关键位置XSS

楼主^#

更多发布于：2013-01-23 17:03


	作者：lxj616 一上来发现my.9158.com（账户应用服务器）出现个XSS http://my.9158.com/login_pass.aspx?go=%22%20onmouseover%3dprompt%28947212%29%20bad%3d%22 反射式的有且只有这一处（任意位置动动鼠标就出现啦）图片：20130123113954554.jpg 反射式的只有这一处，别的地方没有！？配置失误了吧图片：20130123113955520.jpg 在设置个人主页标题时没有过滤，但这可真是新鲜事，因为我刚测试了个人信息所有输入的地方都做了转义（能不能突破先不谈，有过滤说明有配置）为什么单单个人主页标题没过滤，配置失误了吧 http://home.9158.com/index.aspx?UserId=lxj616 进主页就直接弹了图片：20130123113956229.jpg 图片：20130123114000312.jpg 图片：20130123114001651.jpg 修复方案： 1.把这两处补上 2.整个的安全配置最好能整体化，单个单个配置容易出现问题，而且长期看也并不简便 3.你们的“一流的安全防御软件”好像只过滤GET请求提交的参数！我测试post时并没有拦截，你们仔细看看确认一下，不当新漏洞发了