异次元发卡最新0day(XSS组合拳)

  • 开发
  • 61

异次元商店头像上传处存在存储型XSS注入(user、admin均存在)。其中,user处有过滤,admin无。

1.png

2.png


将恶意脚本插入后,管理员访问用户管理页面即可执行恶意脚本。

3.png


恶意脚本执行后,会新增一个管理员用户,进而获得权限。

鉴于漏洞还没有泛滥,而且很多站都有漏洞。EXP暂时不公开。

需要学习可以加入知识星球

4.png


本文链接:  https://www.黑客.wang/wen/c553aea127604581.html
阅读全部

相关推荐

  8. 【Nginx】Nginx 最新社区稳定版-1.26.0-发布

    2024-01-20 14:32:01       31 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-01-20 14:32:01       91 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-01-20 14:32:01       97 阅读

  9. 在Django里面运行非项目文件

    2024-01-20 14:32:01       78 阅读

  19. Python语言-面向对象

    2024-01-20 14:32:01       88 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-01-20 14:32:01       81 阅读

热门阅读

  1. 深度解析window.history.go()和history.back()

    2024-01-20 14:32:01       62 阅读

  2. 小程序云函数调用失败Cannot find module ‘wx-server-sdk‘

    2024-01-20 14:32:01       36 阅读

  4. windows 利用DDNS-GO解析IPV6

    2024-01-20 14:32:01       63 阅读

  6. Todo List 变成 Contribution List

    2024-01-20 14:32:01       49 阅读

  8. C++:史上最坑小游戏

    2024-01-20 14:32:01       60 阅读

  10. Unity音频管理器

    2024-01-20 14:32:01       61 阅读

  12. QML与C++交互详解

    2024-01-20 14:32:01       56 阅读

  13. excel 常用函数

    2024-01-20 14:32:01       53 阅读

  17. 2024 前端高频面试题之 Vue 篇

    2024-01-20 14:32:01       46 阅读

  18. 126 对称的二叉树

    2024-01-20 14:32:01       40 阅读

  20. Spring中的IOC与AOP的理解(1)

    2024-01-20 14:32:01       49 阅读

  21. Go 常见报错 - VsCode运行go:go.mod file not found

    2024-01-20 14:32:01       55 阅读

  25. redisson-spring-boot-starter 自动化配置源码解析

    2024-01-20 14:32:01       48 阅读

  29. Android13预装APP到data分区

    2024-01-20 14:32:01       63 阅读