鸿 网 互 联 www.68idc.cn

赶集网的几个小安全问题

来源:互联网 作者:佚名 时间:2016-05-07 10:06
1 cookies没有加httponly,这个的话大家肯定都知道,只是推起来比较难,但一旦问题严重性给开发演示,比如做点什么应该能够推动把 2 xss,在用户姓名处输出未过滤 3 客户端(应该是所有客户端),http的get方式明文传输密码,危害不用说了,根本不用什么钓鱼

1 cookies没有加httponly,这个的话大家肯定都知道,只是推起来比较难,但一旦问题严重性给开发演示,比如做点什么应该能够推动把

2 xss,在用户姓名处输出未过滤


3 客户端(应该是所有客户端),http的get方式明文传输密码,危害不用说了,根本不用什么钓鱼了

看图吧

 



4 赶集wap版暴力注册(主站是有控制的,验证码和次数限制),这个问题我们电商算很高危的漏洞了,淘宝也是,不知道你们怎么看

直接看图吧


 

 


客户端的也都看看吧,我看了下应该也可以,时间不早了不试了,注册的时候也是get明文传输



 

修复方案:

1 输出过滤,httponly能加就加

2 客户端这个又要想办法推啊,比如搞个老总的密码

3 暴力注册的话所有接口检查一遍,不知道你们有没有ip监控

 

网友评论
<