习惯性的测试了输入内容,发现贝壳小岛设置个人信息时存在xss漏洞。
那就试试能不能拿到管理员cookie吧,一般情况下通过xss是可以拿到后台管理信息的,大葱哥试了几次发现能看到管理操作记录,但是竟然拿不到cookie值,恶补了一番知识,知道了cookie可以设置httponly,这样本地js脚本就读取不了。
好吧,看来大葱哥这次不能愉快的玩后台了。
虽然玩不了,但还是给官方一个恶作剧吧,让每次管理员进入后台都会看到一个输出 123。
联系官方后台是不是打印123了,官方很好奇的问怎么做到的。
呵呵,痛快的告知问题原因,官方也第一时间修复了问题。
鸡肋的xss漏洞 习惯性的测试了输入内容,发现贝壳小岛设置个人信息时存在xss漏洞。那就试试能不能拿到管理员coo...
自7月3日晚上知道贝壳小岛的存在一来,陆续发现了贝壳小岛的多个高危漏洞,当然大葱哥还是保持了传统习惯,第一时间通知...
7月4日上午继续在玩弄小岛,不经意的发现了一个赎回的漏洞,按钮重复点击,可以发起多次赎回,言外之意就是账户有100...
贝壳小岛休市漏洞 闲来无事玩玩小岛,意外找到了一个小岛休市的漏洞。小岛的挂单出价及数量都做了校验,要大于零,但这个...
重复赎回的后遗症 继前面提到的重复赎回的漏洞之后,通知可官方,并让官方取消了我的赎回订单。但发现官方在对赎回订单进...
接口随意调用 又是越权漏洞的一种,小岛的后端api接口没有进行权限验证,可以随意调用接口,比如我买了别人的贝,调用...
欢迎关注贝壳小岛 友情提示: 各位小伙伴可以添加贝壳小岛客服微信beikeisland进入贝壳小岛。 今天贝壳小岛...
贝壳小岛欢迎您 友情提示: 各位小伙伴可以添加贝壳小岛客服微信beikeisland进入贝壳小岛 今天贝壳小岛送出...
友情提示: 各位小伙伴可以添加贝壳小岛客服微信beikeisland进入贝壳小岛。 今天贝壳小岛...
友情提示: 各位小伙伴可以添加贝壳小岛客服微信beikeisland进入贝壳小岛。 今天贝壳小岛...
本文标题:贝壳小岛系列漏洞之三
本文链接:https://www.haomeiwen.com/subject/aviukctx.html
网友评论