鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

图虫网的一个点击劫持

来源:互联网 作者:佚名 时间:2015-10-19 08:40
图虫网一个地方未过滤导致clickjacking 详细说明:在我的主页里发表一篇文字,随便写入点东西,发表后经过查看发现在分享到豆瓣这里时,提取出了文章的标题,而且没有经过什么过滤,如图: 那我们完全可以闭合掉原来的js然后执行eval函数来达到劫持的目的。编
图虫网一个地方未过滤导致clickjacking
详细说明:在我的主页里发表一篇文字,随便写入点东西,发表后经过查看发现在分享到豆瓣这里时,提取出了文章的标题,而且没有经过什么过滤,如图:
 
 
那我们完全可以闭合掉原来的js然后执行eval函数来达到劫持的目的。编辑文章,在标题上填入:
 
 
demon')+eval(alert(/xss/))+e('1
 
发表之后,点击分享到豆瓣那个图标,发现弹窗成功:
 
 
而写入到代码的情况为:
 
 


 
发现确实写入到代码并且执行了。
 
这样就完全可以执行我们想要的功能,而脱离了原本这个按钮所具有的功能,达到劫持的目的。 

 
修复方案:

过滤什么的。。 
 
网友评论
<