土豆網三枚XSS 均可獲取cookie

2021-12-29 22:00:54 字數 348 閱讀 2353

土豆網某些頁面由於沒有進行過濾或過濾不嚴導致存在的兩枚反射型和一枚儲存型xss跨站漏洞

存在反射型xss的兩個位址 1、

存在儲存型xss的乙個位址(這個我看已經有人發布了,但目前為止仍未修復) 3、

%3cimg%20src=1%20onerror=alert%28/xss/%29%3e

沒有對使用者輸入進行資料合法性驗證,導致了永續性xss

//firefox彈窗效果

//chrome彈窗效果 

修復方案:

1、過濾不可信資料

2、對使用者輸入進行資料合法性驗證

3、為cookie加上httponly 

土豆網前端概況

土豆網前端概況 一 分工和流程 在土豆網,以專案開發為核心,誰都可以帶專案,擔任專案經理。乙個典型的土豆網專案中,當進入正式開發階段,通常參與者包括 1名設計師,1 2名前端工程師,1到多名後台工程師,1 2名系統運維管理員。其中,前三者的工作都是可以併發的,最終整合通常是前段工程師,對於複雜度較低...

關於土豆網盈利模式的一點兒構思

同事發給我看土豆網的第二期融資網頁。的確,com的時代並沒有結束,只不過是更加規範,投資者更加謹慎。然而,土豆網的融資成功不能說明網際網路走進了乙個新的時代,因為網際網路公司的盈利模式,仍跳不出廣告,會員費的圈子,如何真正的使乙個 盈利,仍是 經營者和投資人需要考慮的問題。在 盈利模式的摸索過程中,...