那个支付宝xss是个啥?

  • A+
所属分类:安全闲碎

 今天一个XSS🔥上天了。

就是下面这个

那个支付宝xss是个啥?

然而我想了下 支付宝上线肯定SDL了。

后来看了下 大家都是可以发的,好奇的我点开了我的支付宝发现压根就没有,所以这个漏洞不是互相影响的。



所以第一直觉肯定是一个DOM XSS。

这里引入一个概念 localstorage

这个本地数据库适合缓存一些内容来减少服务器的请求,我第一个感觉就是本地的东西被修改了,然后页面直接读取到了localstorage 展示出来。


那么问题来了 这个危害是什么? 

在我看来是0……  没啥鸟用,利用率还不如手机掉了被人拿到然后破解登录密码 使用你的支付宝的几率高




如果你去看下支付宝的一些header设置 你会发现……

支付宝还是很牛逼的啊  前端大佬还是很屌的。。。打开浏览器 看看支付宝的设置 还有cookie  等域的划分  能学到不少。。。。


能从它的域下拿到一点敏感数据还是……有点困难的。。。









本文始发于微信公众号(xsser的博客):那个支付宝xss是个啥?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: