9158.com配置失误致2处关键位置XSS
2887 点击·0 回帖
灯火互联
楼主
 |  | |
 | 作者:lxj616 一上来发现my.9158.com(账户应用服务器)出现个XSS http://my.9158.com/login_pass.aspx?go=%22%20onmouseover%3dprompt%28947212%29%20bad%3d%22 反射式的有且只有这一处(任意位置动动鼠标就出现啦) 图片:20130123113954554.jpg  反射式的只有这一处,别的地方没有!?配置失误了吧 图片:20130123113955520.jpg  在设置个人主页标题时没有过滤,但这可真是新鲜事,因为我刚测试了个人信息所有输入的地方都做了转义(能不能突破先不谈,有过滤说明有配置)为什么单单个人主页标题没过滤,配置失误了吧 http://home.9158.com/index.aspx?UserId=lxj616 进主页就直接弹了 图片:20130123113956229.jpg  图片:20130123114000312.jpg  图片:20130123114001651.jpg  修复方案: 1.把这两处补上 2.整个的安全配置最好能整体化,单个单个配置容易出现问题,而且长期看也并不简便 3.你们的“一流的安全防御软件”好像只过滤GET请求提交的参数!我测试post时并没有拦截,你们仔细看看确认一下,不当新漏洞发了 | |
 |  |