目录
1. 第三方昵称为XSS名称
拉手网获取qq昵称后直接输出到拉手网页面了,而且腾讯允许qq昵称带有特殊字符如等,然后使用qq账号登陆拉手网,其在拉手网的昵称就存在一个xss。该漏洞中作者通过评论反馈盲打了后台并成功登陆。
2. 分享接口存在xss漏洞
博客园的分享接口存在xss漏洞(广大程序猿们要注意啊)发布文章到博客园形成xss
3. 退出第三方账号仍可以登入
退出后发现不用输入任何账号信息,甚至连密码也无需输入,已经显示“正在获取权限信息,请稍后...”。
4. 第三方登录绑定漏洞利用(账号接管)
这里需要使用到一个微博账号与两个某厂商账号
微博账号:182**77 (攻击者)
某厂商账号A:33*49
