这是一个创建于 4344 天前的主题,其中的信息可能已经有所发展或是发生改变。
输入其中的内容如下,你们懂的。
</style>
<script>
alert("xss");
</script>
<style>
#Top {
background: #BDBDBD;
}
</style>
<script>
alert("xss");
</script>
<style>
#Top {
background: #BDBDBD;
}
 |
1
disinfeqt 2012-06-08 16:10:31 +08:00
XSS 也就黑你自己而已……
|
 |
2
loading 2012-06-08 16:13:31 +08:00
当v2ex数据库能被插这些代码的时候,哪里还安全。
这个权当是自定JS功能的"预留接口" |
 |
4
qichunren OP @disinfeqt 我当然知道这个自定义的CCS,是对当前登录用户,起作用的。但这的确是一个漏洞,虽然我还没有想到怎么样可以有效地利用。
|
 |
5
1212e 2012-06-08 16:16:29 +08:00
|
 |
6
Livid MOD 你可以对自己的帐号做任何事情啊,就像你永远都可以在浏览器地址栏用 javascript: 来做任何事情,但是这个不是安全漏洞。除非你能够将这些代码显示在别人的浏览器里。
|
 |
7
eric_zyh 2012-06-08 16:28:54 +08:00
可以用ajax给服务器post数据不?
|
 |
8
jackmasa 2012-06-08 16:28:56 +08:00  1
|
 |
10
t3st 2012-06-08 16:36:09 +08:00
@jackmasa 这样就不是v2ex站点的问题了吧,网络钓鱼而已。你完全可以写个新页面,伪装成登录页面,记录账号密码然后重定向到v2ex站点。
|
 |
11
bhuztez 2012-06-08 16:48:54 +08:00
|
|
12
jackmasa 2012-06-08 16:54:24 +08:00
|
 |
16
gDD 2012-06-08 17:12:43 +08:00
@Livid 自定义CSS我觉得没问题,“>”在CSS里是有用的,没必要转义一下。
@jackmasa http://jsbin.com/uzefum/5/edit ,实在没看明白,难道是V2EX的/signin支持跨域POST? |
|
17
jackmasa 2012-06-08 17:17:07 +08:00 2
@Livid (゜ー゜) ,刚看了下资料设置页好像没有加csrf token,应该可以用刚刚那种方式直接修改当前用户的css,然后xss之
|
|
20
gDD 2012-06-08 17:33:22 +08:00
|
|
22
Livid MOD @jackmasa 很感谢你的发现。
但是有个地方我还是没有想明白,希望你能解释一下。 用另外一个帐号跨域登录的话,cookie 变了,当前登录用户也变了的情况下,如何能够影响到之前点击链接的用户呢? 当然,用户看到自己的登录名变了确实会感觉比较惊悚。:) |
 |
26
xlaok 2012-06-08 18:52:04 +08:00
哇哦,很酷,没想到这个居然能被利用。
|
|
27
gDD 2012-06-08 19:07:47 +08:00
@1212e 是的,其实应该直接写<form/>然后submit()修改自定义CSS(往里插入JS),然后就All your XX are belong to us了 xD
|
|
30
jackmasa 2012-06-08 19:55:19 +08:00
|
 |
31
rhyzx 2012-06-11 09:52:24 +08:00
额... 怎么就盖了这么多楼了
这个自定义CSS相当于给v2ex加个油猴脚本(stylish), 只对于客户端有效 客户端你想怎么搞就能怎么搞, 即使关了自定义CSS也限制不了的吧? |
Select Language