成都航空有限公司官网存储型XSS一枚可盲打后台 - 起风了

成都航空有限公司官网存储型XSS一枚可盲打后台

时间: 2020-10-11｜tag：黑客技术学习黑客攻防｜14次围观｜0 条评论

过滤不严，导致XSS，可打后台cookie,造成客户敏感信息泄露。

网址：http://www.chengduair.cc

存在漏洞网页链接：http://www.chengduair.cc/Feedback.asp

漏洞证明

成都航空有限公司官网存储型XSS一枚可盲打后台插图

已打到cookie,看下图

成都航空有限公司官网存储型XSS一枚可盲打后台插图1

进后台，全部是客户留言，信息比较全面，可以被不法分子利用

成都航空有限公司官网存储型XSS一枚可盲打后台插图2

成都航空有限公司官网存储型XSS一枚可盲打后台插图3

修复方案：

过滤

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《成都航空有限公司官网存储型XSS一枚可盲打后台》

　 Ecmall二次注入第四弹 – 网站安全 – 自学php FengCMS的CSRF漏洞可导致数据库被dump – 网站安全　

还没有人抢沙发呢~