安全黑客
当前位置:安全黑客文章资讯安全漏洞漏洞安全
日期:2012-09-24 10:03:00  来源:本站整理

猎头网XSS+绕过帐号只能一台电脑登陆限制[漏洞安全]

赞助商链接



  本文“猎头网XSS+绕过帐号只能一台电脑登陆限制[漏洞安全]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

无意在微博上看到这么一个网站,lietou.com,然后就...
具体阐明:猎头网注册的时刻会填入一些公司信息,比方:目前公司,目前职位等,这个地方不用盲打,注册时向这个地方写入xss代码后,一点都木有过滤...
 
 
 
 
 
 
 
不用说了,存储型的,插好xss代码,然后用力浑身解数去粘目标就好啦.
下午好
 
 
 
 
兴趣勃勃的跑去登陆,后果发现这个提醒
 
 
 
 
还有session在线检测?!
斗胆的猜测了一下这里大概有计划缺陷,因为我之前测试帐号发现session即便点击安全退出,固然被注销了,但是按照你cookie里auth等信息又会取到新的session,我靠可以长期掌握帐户的啊.但是!但是!!但是!!!这不是亮点,亮点是可以bypass掉同一session同时在线的检测!!!!!
 
回到方才的提醒界面,挑选“重新登陆”后在点击安全退出,然后即刻操纵劫持到的cookie再次登陆,bingo!
 
 
 
 
 
高潮过去了,预备结贴了,顺手取回下密码后果又来一发!!
 
 

 
修复筹划:

累了,不想打字了,都写上面了


  以上是“猎头网XSS+绕过帐号只能一台电脑登陆限制[漏洞安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 猎头网XSS+绕过帐号只能一台电脑登陆限制
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .