某高校gpt漏洞

2025年4月6日22:04:36评论10 views字数 282阅读0分56秒阅读模式

Part-01

背景

日常开展src测试，通过信息收集，发现某高校自建的gpt系统，还给注册账号！注册完后，测试发现存在html注入漏洞。分享下过程！

Part-02

实战

秉承见框就插的原则，效果立杆见影，先插入常规的poc,<img src =1 onerror=alert(1)>。

弹框了……

弹个cookie试试，<img src=1 onerror=alert(document.cookie）>。依然成……

再试试嵌入页面，<iframe src=https://www.baidu.com></iframe>，还是行。

原文始发于微信公众号（锐鉴安全）：某高校gpt漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

【吾好梦中测站】一次资金盘渗透的源码爬取与0day挖掘实录

本文由 admin 发表于 2025年4月6日22:04:36
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
某高校gpt漏洞https://cn-sec.com/archives/3917931.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.