详细阐明:
畴前和阿华说过了这个XSS,貌似已经补了,删掉了<和”?当初和上面的裂痕一起提上来刷个分~嘿嘿… 畴前的测试帐号没被删除,只是被禁用了,在后台浮现的时刻仍然会浮现出来,XSS代码也会浮现出来。 克日去看XSS的列表,又创举了UPYUN的地点,于是就去折腾他的COOKIES新闻,创举,竟然将用户的帐号以明文和密码以MD5?32位的法子记录在COOKIES中,无语ing….. 于是,用粗略的密码进入了后台,创举大概重置用户密码,重置后的前因你懂的~~ 裂痕证实: 1、去免费哀求申请一个帐号,在小我新闻中写上XSS代码。
| 1 |
3、当我拿着COOKIES和地点欺骗登录的时刻,释怀了,竟然session会话见效
4、就在释怀之际,看了看COOKIES,创举了奇葩之处,用URIComp解码了下,创举了一个password字段,目测一下,是一个32位MD5加密的字段,于是乎,CMD5之,免费。颠末一轮求破解,晓得了密码,貌似竟然弱口令……
5、营垒了,失利进入后台
========
各种性能
手机
