某高校gpt漏洞

admin 2025年4月6日22:04:36评论0 views字数 282阅读0分56秒阅读模式
Part-01
背景
    日常开展src测试,通过信息收集,发现某高校自建的gpt系统,还给注册账号!注册完后,测试发现存在html注入漏洞。分享下过程!
Part-02
实战
秉承见框就插的原则,效果立杆见影,先插入常规的poc,<img src =1 onerror=alert(1)>。
某高校gpt漏洞
   弹框了……

某高校gpt漏洞
弹个cookie试试,<img src=1 onerror=alert(document.cookie)>。依然成……
某高校gpt漏洞
再试试嵌入页面,<iframe src=https://www.baidu.com></iframe>,还是行。
某高校gpt漏洞

原文始发于微信公众号(锐鉴安全):某高校gpt漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月6日22:04:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某高校gpt漏洞https://cn-sec.com/archives/3917931.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息