无意在微博上看到这么一个网站,lietou.com,然后就。。。
详细说明:猎头网注册的时候会填入一些公司信息,比如:目前公司,目前职位等,这个地方不用盲打,注册时向这个地方写入xss代码后,一点都木有过滤。。。
 
 
 
 

猎头网XSS+绕过帐号只能一台电脑登陆限制


 
 

猎头网XSS+绕过帐号只能一台电脑登陆限制


 
不用说了,存储型的,插好xss代码,然后使劲浑身解数去粘目标就好啦。
下午好
 

猎头网XSS+绕过帐号只能一台电脑登陆限制


 
 
 
兴高采烈的跑去登陆,结果发现这个提示
 
 

猎头网XSS+绕过帐号只能一台电脑登陆限制


 
 
还有session在线检测?!
大胆的推测了一下这里可能有设计缺陷,因为我之前测试帐号发现session即使点击安全退出,虽然被注销了,但是根据你cookie里auth等信息又会取到新的session,我靠可以长期控制帐户的啊。但是!但是!!但是!!!这不是亮点,亮点是可以bypass掉同一session同时在线的检测!!!!!
 
回到刚刚的提示界面,选择“重新登陆”后在点击安全退出,然后马上利用劫持到的cookie再次登陆,bingo!
 
 
 

猎头网XSS+绕过帐号只能一台电脑登陆限制


 
 
高潮过去了,准备结贴了,顺手取回下密码结果又来一发!!
 
 

猎头网XSS+绕过帐号只能一台电脑登陆限制


猎头网XSS+绕过帐号只能一台电脑登陆限制


 
修复方案:

累了,不想打字了,都写上面了