今天一个XSS🔥上天了。
就是下面这个
然而我想了下 支付宝上线肯定SDL了。
后来看了下 大家都是可以发的,好奇的我点开了我的支付宝发现压根就没有,所以这个漏洞不是互相影响的。
所以第一直觉肯定是一个DOM XSS。
这里引入一个概念 localstorage
这个本地数据库适合缓存一些内容来减少服务器的请求,我第一个感觉就是本地的东西被修改了,然后页面直接读取到了localstorage 展示出来。
那么问题来了 这个危害是什么?
在我看来是0…… 没啥鸟用,利用率还不如手机掉了被人拿到然后破解登录密码 使用你的支付宝的几率高
如果你去看下支付宝的一些header设置 你会发现……
支付宝还是很牛逼的啊 前端大佬还是很屌的。。。打开浏览器 看看支付宝的设置 还有cookie 等域的划分 能学到不少。。。。
能从它的域下拿到一点敏感数据还是……有点困难的。。。
本文始发于微信公众号(xsser的博客):那个支付宝xss是个啥?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论