我要评论使用这个页面直接饶过登录:http://tt.youku.com/admin/up.jsp
当然是没有权限进行操作的,但可以通过修改user这个参数,使任意用户id登录(这也太弱了,是谁做的系统啊?发现一些大公司的内部系统都这样!)
http://tt.youku.com/admin/main1.jsp?user=admin
更不用说数据添加存储型xss了! 
不过系统好象好久没用了,不知道手机用户还能看到不?)
修复方案:
如果这样修改user参数,都能形成反射型持久态xss了(每次操作都能弹了!)(还有其他有意思的问题,如:把菜单项里屏蔽掉的url,添加到“资源名称”,就能正常访问了!)
http://tt.youku.com/admin/main1.jsp?user=<script>alert(/xss/);</script>
哈哈!不知道怎么形容这个系统!可能是赶项目工期吧!
发表评论