欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

優(yōu)酷資源管理系統(tǒng)V1.0的設(shè)計缺陷的分析與解決方案

shine   發(fā)布時間:2012-06-27 14:45:15   作者:佚名   我要評論
優(yōu)酷資源管理系統(tǒng)V1.0的設(shè)計缺陷我們來分析一下
/*前面那個安全問題提交快了,沒看到還有這個,要不就合并一起提交了!*/
 使用這個頁面直接饒過登錄:http://tt.youku.com/admin/up.jsp 
 
當(dāng)然是沒有權(quán)限進(jìn)行操作的,但可以通過修改USER這個參數(shù),使任意用戶ID登錄(這也太弱了,是誰做的系統(tǒng)?。堪l(fā)現(xiàn)一些大公司的內(nèi)部系統(tǒng)都這樣?。?br /> http://tt.youku.com/admin/main1.jsp?USER=admin 
  更不用說數(shù)據(jù)添加存儲型XSS了!  
  
 不過系統(tǒng)好象好久沒用了,不知道手機(jī)用戶還能看到不?)
修復(fù)方案:
如果這樣修改USER參數(shù),都能形成反射型持久態(tài)XSS了(每次操作都能彈了?。ㄟ€有其他有意思的問題,如:把菜單項(xiàng)里屏蔽掉的url,添加到“資源名稱”,就能正常訪問了!)
http://tt.youku.com/admin/main1.jsp?USER=<script>alert(/xss/);</script>
 
哈哈!不知道怎么形容這個系統(tǒng)!可能是趕項(xiàng)目工期吧!

相關(guān)文章

最新評論