搜狐邮箱电脑版登录(利用搜狐邮箱XSS劫持用户邮件)
1.此漏洞检测涵洞编号。
2.这个数字可以使父对话框获取子对话框的内容,但前提是同一个域。举个例子:我可以从搜狐社区获取搜狐邮箱的内容,如图。
3.接下来就不用我说了。如果我在搜狐社区找到一个XSS,我可以立即找到一个XSS搜狐邮箱。我发现之前提交的一个XSS,大家都用了,没修。
WooYun:搜狐社区Dom xss可以更改客户帖子的标题和内容(xss过滤旁路)。
4.XSS也没有详细描述。看上面的连接,所以我也在搜狐社区签名的区域插入了XSS码。
