那个支付宝xss是个啥?

admin 2021年11月17日02:48:29安全闲碎评论107 views400字阅读1分20秒阅读模式

 今天一个XSS🔥上天了。

就是下面这个

那个支付宝xss是个啥?

然而我想了下 支付宝上线肯定SDL了。

后来看了下 大家都是可以发的,好奇的我点开了我的支付宝发现压根就没有,所以这个漏洞不是互相影响的。



所以第一直觉肯定是一个DOM XSS。

这里引入一个概念 localstorage

这个本地数据库适合缓存一些内容来减少服务器的请求,我第一个感觉就是本地的东西被修改了,然后页面直接读取到了localstorage 展示出来。


那么问题来了 这个危害是什么? 

在我看来是0……  没啥鸟用,利用率还不如手机掉了被人拿到然后破解登录密码 使用你的支付宝的几率高




如果你去看下支付宝的一些header设置 你会发现……

支付宝还是很牛逼的啊  前端大佬还是很屌的。。。打开浏览器 看看支付宝的设置 还有cookie  等域的划分  能学到不少。。。。


能从它的域下拿到一点敏感数据还是……有点困难的。。。









本文始发于微信公众号(xsser的博客):那个支付宝xss是个啥?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月17日02:48:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  那个支付宝xss是个啥? http://cn-sec.com/archives/481931.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: