新浪跨站

ＨＵＣ-Tsingx · 2009-6-29 18:47:07

漏洞页面
http://login.sina.com.cn/hd/signin.php
测试代码
<script>alert('11')</script>
漏洞语句
<div class="error">登录名错误：请输入形如“<script>alert('11')</script>@sina.com”的登录名</div>
对用户输入未过滤
因为这个xss是在登录框上，我学识浅薄，不知道怎么利用，麻烦大牛跟帖说下

ＨＵＣ-冷无崖 · 2009-6-29 18:49:27

这个输入肯定限制字数了，呵呵不然你肯定写上你的大名了，所以对于这种限制字数的跨站，除了在“剑心”一篇文章中他用C写了个小程序能连续利用外，别的地方还没见过……

ＨＵＣ-Tsingx · 2009-6-29 18:55:19

回二楼的，字数限制好像在30~40之间，貌似足够了吧，11是我随手打的，非要写名干什么.....

TY_印记 · 2009-6-29 19:06:02

呵呵真厉害

红盟学者 · 2009-6-29 21:27:51

楼上两位,我也很想知道怎么去利用
这个我怎么也想不到利用的方法

sunrise · 2009-6-30 09:01:03

我觉得这种漏洞基本上属于鸡肋。

某些搜索引擎也是一样的。

输入的东西根本不在URL中出现，社工加挂马根本不行。/

我也不知道怎么样才能利用。

李晟艺 · 2022-3-5 14:12:55

学习一下！

李晟艺 · 2022-3-5 14:13:12

学习技术！！！

李晟艺 · 2022-3-5 14:14:37

学习一下！！！

李晟艺 · 2022-3-5 14:15:16

真厉害！！！

新浪跨站

浏览过的版块

优秀斑竹奖

宣传大使奖

特殊贡献奖

新人须知

常见问题

关于我们