[转载] 动网头像跨站漏洞的利用方法!-yjd333-ChinaUnix博客

Yjd‘Blogyjd.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

yjd333

博客访问： 3097616
博文数量： 797
博客积分： 10134
博客等级：上将
技术积分： 9335
用户组：普通用户
注册时间： 2006-06-22 22:57

个人简介

文章分类

全部博文（797）

Code（2）
资讯（95）
Tools（53）
Web（36）

Ftp（10）

Mail（2）

Apache（7）

IIS（3）
SQL（34）

Oracle（2）

MsSqL（11）

MySqL（19）
OS（232）

Windows（76）

Linux（36）

Dos（4）
Cracker（8）
Iptables（36）
虚拟机（10）
Kernel（10）
未分配的博文（281）

文章存档

2022年（1）

2021年（2）

2017年（2）

2016年（1）

2015年（4）

2014年（1）

2013年（6）

2012年（6）

2011年（10）

2010年（26）

2009年（63）

2008年（61）

2007年（51）

2006年（563）

我的朋友

vsyour

相关博文

[转载] 动网头像跨站漏洞的利用方法!

分类：系统运维

2006-08-25 10:38:35

[转载] 动网头像跨站漏洞的利用方法!

来自：冰点极限

我就把利用方法简单说一下吧........
首先,注册一用户,直接到用户资料修改处..更新后进行抓包..如下图:

我们要用到刺猬写的一个post提交工具:

把我们抓到的东西填入工具中...如下图:

这里说明一下,要修改提交信息里面的内容,当myface为空或其他原因时程序才会读取face提交的值..
Face就是要提交的值(也就是我们要写入的代码):把它修改为:

javas|cript:alert("哈哈,头号烂烟犯到此一游")
然后把myface的值修改为空.......
点击post工具里面的测试键....
最后效果出来了....如下图:

文件:	b200689171214.rar
大小:	76KB
下载:	下载

阅读(659) | 评论(0) | 转发(0) |

上一篇：奇虎反流氓软件触动雅虎神经双方恼羞互揭老底

下一篇：[安全资料]200608期黑客X档

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6