优酷资源管理系统V1.0的设计缺陷的分析与解决方案_漏洞分析_网络安全_
2024-03-23 15:16:44
1
/*前面那个安全问题提交快了,没看到还有这个,要不就合并一起提交了!*/
使用这个页面直接饶过登录:http://tt.youku.com/admin/up.jsp
当然是没有权限进行操作的,但可以通过修改USER这个参数,使任意用户ID登录(这也太弱了,是谁做的系统啊?发现一些大公司的内部系统都这样!)
http://tt.youku.com/admin/main1.jsp?USER=admin
更不用说数据添加存储型XSS了!
不过系统好象好久没用了,不知道手机用户还能看到不?)
修复方案:
如果这样修改USER参数,都能形成反射型持久态XSS了(每次操作都能弹了!)(还有其他有意思的问题,如:把菜单项里屏蔽掉的url,添加到“资源名称”,就能正常访问了!)
http://tt.youku.com/admin/main1.jsp?USER=
哈哈!不知道怎么形容这个系统!可能是赶项目工期吧!
使用这个页面直接饶过登录:http://tt.youku.com/admin/up.jsp
当然是没有权限进行操作的,但可以通过修改USER这个参数,使任意用户ID登录(这也太弱了,是谁做的系统啊?发现一些大公司的内部系统都这样!)
http://tt.youku.com/admin/main1.jsp?USER=admin
更不用说数据添加存储型XSS了! 
不过系统好象好久没用了,不知道手机用户还能看到不?)
修复方案:
如果这样修改USER参数,都能形成反射型持久态XSS了(每次操作都能弹了!)(还有其他有意思的问题,如:把菜单项里屏蔽掉的url,添加到“资源名称”,就能正常访问了!)
http://tt.youku.com/admin/main1.jsp?USER=
哈哈!不知道怎么形容这个系统!可能是赶项目工期吧!
最近发表
- NoName Script _Exploit_网络安全_
- FlashGet 1.9.0.1012 (FTP PWD Response) BOF Exploit (safeseh) _Exploit_网络安全_
- 从知名专业社交网站linkedin数据库泄漏事件中引发的思考(图文)_漏洞分析_网络安全_
- 3DSMAX桥命令怎么使用? 3DSMAX桥连接边界的教程_基础教程_3DMAX教程_媒体动画_
- 3DMAX怎么对缩放区域进行缩放? 3DMAX缩放工具的使用教程_基础教程_3DMAX教程_媒体动画_
- 3dmax平面怎么变弯曲? 3dmax让平面弯曲的教程_基础教程_3DMAX教程_媒体动画_
- 3dsMax中怎么制作茶壶的爆炸效果?_基础教程_3DMAX教程_媒体动画_
- 3dsMax2012状态模式应用场景怎么使用?_基础教程_3DMAX教程_媒体动画_
- 3dsmax怎么使用车削命令做一个小碗模型?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么使用AEC扩展植物功能绘制模型?_基础教程_3DMAX教程_媒体动画_
- 3DsMax无法启动提示程序出错该怎么办?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么锁定摄像机视角?_基础教程_3DMAX教程_媒体动画_
- 3dmax创建的模型怎么设置导入unity3d?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么使用FFD命令建模?_基础教程_3DMAX教程_媒体动画_
- 3dmax模型怎么打灯光记设置属性?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么使用推力命令?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么倾斜模型? 3dmax倾斜命令的使用方法_基础教程_3DMAX教程_媒体动画_
- 3Dmax怎么把两个物体合并?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么使用系统标准对象?_基础教程_3DMAX教程_媒体动画_
- 3dmax辅助动力对象怎么使用?_基础教程_3DMAX教程_媒体动画_
- 3dmax怎么使用辅助集合对象功能?_基础教程_3DMAX教程_媒体动画_
- 3dsmax怎么创建环形波扩展基本体?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么创建切角长方体?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么创建三维立体的U型楼梯模型?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么建模上下推拉窗户模型?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么建模平开窗户?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么快速创建大红灯笼模型?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么建模工字钢铁轨零件?_建模教程_3DMAX教程_媒体动画_
- 3dsmax挤出命令怎么制作三维几何图形?_建模教程_3DMAX教程_媒体动画_
- 3dsmax怎么建模吊桥模型?_建模教程_3DMAX教程_媒体动画_
友情链接
-
采集程序
网站源码出售
老域名出售页面
下载
游戏
网站导航
文章
源码下载
软件下载
游戏下载
资料
资源分享
六神
六神
海飞丝
海飞丝
噬元兽
噬元兽
bieha.cn
www.bieha.cn
缪缇(Miuti)内衣
缪缇(Miuti)内衣
dk028.com
www.dk028.com
四川福利
四川福利
bzbl.cn
www.bzbl.cn
mlft.cn
www.mlft.cn
7zz压缩
7zz压缩
91大神
91大神
刘亦菲
刘亦菲
sewai.cn
www.sewai.cn
58同城
58同城
鸭苗
鸭苗
caclrc.cn
rgbbs.cn
heiapp.net
zhfjx.cn
sshfy.cn
sxdgc.cn
28city.cn
www.caclrc.cn
www.rgbbs.cn
www.heiapp.net
www.zhfjx.cn
www.sshfy.cn
www.28city.cn
etc吧
etc吧
abdayah.cn
www.abdayah.cn
ddbdzs.cn
www.ddbdzs.cn
安思尔HyFlex
安思尔HyFlex
studyart.cn
www.studyart.cn
dndf.cn
www.dndf.cn
www.sxdgc.cn
11855.cn
www.11855.cn
11566.cn
www.11566.cn
11355.cn
www.11355.cn
62622.cn
www.62622.cn
cbwq.cn
www.cbwq.cn
www.zrqm.cn
zrqm.cn
rlfm.cn
www.rlfm.cn
www.pbtb.cn
pbtb.cn
knlz.cn
www.knlz.cn
rhwf.cn
www.rhwf.cn
dxfp.cn
www.dxfp.cn
rptb.cn
www.rptb.cn
nzjg.cn
www.nzjg.cn
ygnl.cn
www.ygnl.cn
人心不古
人心不古
rfbc.cn
www.rfbc.cn
rwbs.cn
www.rwbs.cn
img.liuyifei.net
drnu.cn
www.drnu.cn
bwsu.cn
www.bwsu.cn
wyim.cn
www.wyim.cn
dtud.cn
www.dtud.cn
远东运输集团
远东运输集团
中宠兽医联盟
中宠兽医联盟
拉贝洛尔
拉贝洛尔
飞行悍马
飞行悍马
uesese.cn
www.uesese.cn
爱坤
爱坤
02613.cn
www.02613.cn
lymzi.cn
www.lymzi.cn
KTOA
KTOA
73216.cn
www.73216.cn
www.crtwd.cn
crtwd.cn
深圳麦迪逊
深圳麦迪逊
kylkc.cn
www.kylkc.cn
dztmd.cn
www.dztmd.cn
pmhlw.cn
www.pmhlw.cn
gfxtk.cn
www.gfxtk.cn
桃子坪村
桃子坪村
京泊汽模
京泊汽模
sh3.cn
www.sh3.cn
7sh.cn
www.7sh.cn
民生人寿
民生人寿
安华农业保险
安华农业保险
华夏基违规操作举报电话
华夏基违规操作举报电话
金融消费权益保护投诉咨询电话
金融消费权益保护投诉咨询电话
钵钵鸡
钵钵鸡
r515.cn
www.r515.cn
g2050.cn
www.g2050.cn
bbc888.com
www.bbc888.com
博客
