首页 » 漏洞 » 百度地图存储型XSS

百度地图存储型XSS

 

注册一个新的QQ,将昵称修改为如下代码后,使用该QQ通过OAuth接口登录百度地图。

code 区域
"onclick=eval(window.name)//

打开任意一家商铺并发表评论。

http://map.baidu.com/detail?qt=ninf&uid=3e505be08d95edbb6fc02cb3&detail=cater

百度地图存储型XSS

构造PoC请参考 http://wooyun.org/bugs/wooyun-2015-089971 http://wooyun.org/bugs/wooyun-2015-092465

漏洞证明:

如上。

修复方案:

但愿你听得懂 :)

原文链接:百度地图存储型XSS,转载请注明来源!

0