Modoer点评系统存储型XSS下载

Modoer点评系统某处存储型XSS,可直接跨进后台

 
在礼品兑换处:

联系地址和备注处没有过滤,可以跨进后台: 

可以收到管理的cookie:
 


这里管理员登陆的cookie只有Z9S61_adminid和Z9S61_adminhash两个参数就ok了,所以这个xss劫持的cookie是可以直接登陆后台的。
 
修复方案:
过滤
上一篇: QQ空间某功能缺陷导致日志存储型XSS下载
下一篇: 快的打车电话轰炸加短信轰炸下载
当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细