淘宝装修可引用外部js文件

流云 · 发表于 2014-7-1 22:58:05

简要描述：
淘宝装修页对js过滤不严可使用户引用外部js文件，可获得其它淘宝用户的cookies、修改自己的店铺的评论，宝贝卖出去的数量等。
详细说明：
在淘宝装修页那边的有个背景图片上传，只要通过firebug进行修改里面的值，然后进行上传就可以直接修改里面的值，直接上图

修改后就可以直接在页面出现一个自己引用的外部js文件，然后自己的外部js文件可以自己随便编辑，想获取用户的cookies还是修改好评和坏评都是手到擒来的事了~

然后上一张修改后的页面图

再上个成品的URL，可以直接从firebug里面查看用户的外部js文件

漏洞证明：
在淘宝装修页那边的有个背景图片上传，只要通过firebug进行修改里面的值，然后进行上传就可以直接修改里面的值，直接上图

修改后就可以直接在页面出现一个自己引用的外部js文件，然后自己的外部js文件可以自己随便编辑，想获取用户的cookies还是修改好评和坏评都是手到擒来的事了~

然后上一张修改后的页面图

再上个成品的URL，可以直接从firebug里面查看用户的外部js文件

萤火虫 · 发表于 2014-7-2 17:53:19

我来个吧

无情 · 发表于 2014-7-2 17:53:26

谢谢，希望有用

moonnight · 发表于 2014-7-2 18:36:08

11111111111111

澤霖楓 · 发表于 2014-7-2 18:56:46

丛华蔓 · 发表于 2014-7-2 20:15:24

牛B的网站，我喜欢

lxx7053253 · 发表于 2014-7-2 20:21:52

dddddddddddddddddd

我是大众男神 · 发表于 2014-7-2 20:49:14

12345678910111213141516

红色妖姬 · 发表于 2014-7-2 20:58:00

看看~~~~~~~~~

zj0504 · 发表于 2014-7-2 21:05:41

好东西，支持了、

chaoguiyun · 发表于 2014-7-2 23:12:48

了解一下了

hy cc · 发表于 2014-7-3 01:10:58

路过看看

		自动登录	找回密码
密码			立即注册

[开店认证] 淘宝装修可引用外部js文件