优酷资源管理系统V1.0的设计缺陷的分析与解决方案
/*前面那个安全问题提交快了,没看到还有这个,要不就合并一起提交了!*/<br /> 使用这个页面直接饶过登录:http://tt.youku.com/admin/up.jsp <br /> <img alt="" src="https://img.jbzj.com/file_images/article/201206/2012062714411520.jpg" /><br />当然是没有权限进行操作的,但可以通过修改USER这个参数,使任意用户ID登录(这也太弱了,是谁做的系统啊?发现一些大公司的内部系统都这样!)<br /> http://tt.youku.com/admin/main1.jsp?USER=admin <br /> <img alt="" src="https://img.jbzj.com/file_images/article/201206/2012062714411521.jpg" /> 更不用说数据添加存储型XSS了! <br /> <img alt="" src="https://img.jbzj.com/file_images/article/201206/2012062714411522.jpg" /> <br /> 不过系统好象好久没用了,不知道手机用户还能看到不?)<br /><strong>修复方案:<br /></strong>如果这样修改USER参数,都能形成反射型持久态XSS了(每次操作都能弹了!)(还有其他有意思的问题,如:把菜单项里屏蔽掉的url,添加到“资源名称”,就能正常访问了!)<br />http://tt.youku.com/admin/main1.jsp?USER=<script>alert(/xss/);</script><br /> <img alt="" src="https://img.jbzj.com/file_images/article/201206/2012062714411523.jpg" /><br />哈哈!不知道怎么形容这个系统!可能是赶项目工期吧!
頁:
[1]