在线客服系统挖掘存储xss漏洞技巧(以爱奇艺为例)

注意:爱奇艺在线客服的存储xss漏洞已经修复,但是其余厂商的在线客服系统大多仍然存在这种漏洞1)首先访问在线客服界面,选择包含xss代码的pdf上传(注意:若是没有上传文件的按钮,看看右上角是否有“转人工”,或可以输入“人工”发送消息看看是否转人工)2)包含xss的pdf文件制作教程请参考这篇文章:https://www.shuzhiduo.com/A/WpdKyvvAJV/ (此处我的xss代码是app.alert(1);)3)最后访问pdf文件保存路径,触发存储xss(注 ...

苹果已修补可被用于入侵旧款iPhone和Mac的新零日漏洞

苹果刚刚发布了修补旧版 iOS 和 macOS 的零日漏洞,以封堵 iPhone 和 Mac 设备的安全隐患。早些时候,谷歌威胁分析团队的 Erye Hernandez 和 Clément Lecigne、以及 Project Zero 团队的 Ian Beer,共同披露了在 XNU 操作系统内核中发现的 CVE-2021-30869 漏洞。若漏洞被攻击者成功利用,将导致其可在受感染设备上利用内核 ...

2021-09-24 13:39:31 0 8

欺诈者利用iPhone 13发布会直播骗取价值6.9万美元的比特币

那些坚持下来的人看到视频中弹出信息,告诉他们要访问一个特殊的网站:www.2021.apple.org。正如 Zscaler 所报道的,该网站伪造了一个苹果公司网站,宣传一个比特币赠品。该人所要做的就是通过二维码发送 0.1 到 20 个比特币,就可以得到双倍的金额。这个骗局网站做工精细,让人们相信它是合法的。超过 6.9 万美元被发送到 ...

2021-09-23 19:02:33 0 128

AI如何精准识别挖矿木马?腾讯产业安全公开课即将开讲

自2008年中本聪提出数字货币概念并开发出首个比特币算法的客户端程序以来,利用计算机资源“挖矿”的行为逐渐盛行。2020年,比特币价格一度超过5美元/BTC,涨幅超过10倍,而同期CPU挖矿最为高效的门罗币架构则同步增长6倍。面对如此大的利益诱惑,黑客团伙利用虚拟货币无法溯源的特点抓住攻击变现的机会,纷纷加入了对全网 ...

2021-09-23 16:04:14 0 67

南非司法部遭勒索软件攻击 导致无法使用所有电子服务

该事件发生在9月6日,该部门启动了此类事件的应急计划,以确保该国的一些活动继续进行。南非司法和宪法发展部发言人Steve Mahlangu表示:“(攻击)导致所有信息系统被加密,内部员工以及公众都无法使用。因此,该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。”上周,Mahlangu表示, ...

2021-09-17 17:13:21 0 214

超 6100 万可穿戴设备用户信息被曝光

随着更多的设备连接到互联网,不断存储和分享信息,数据安全已经成为一个长期关注的问题。网络安全研究员 Jeremiah Fowler 在 WebsitePlanet 上发布报告,表示由于一个集中式数据库并未受到保护,有超过 6100 万可穿戴设备的用户数据在网络上曝光。Fowler 和他的团队通过扫描分析,发现 GetHealth 的数据库存在暴露风险。这 ...

2021-09-17 10:32:50 0 323

Anonymous曝光域名注册提供商Epik 180GB数据

Anonymous 表示,该数据集是“追踪互联网法西斯方面的实际所有权和管理所需的全部内容,而过去很长时间研究人员、活动家以及几乎所有人都避而不谈”。如果这个信息是正确的,Epik 的客户数据和身份现在可能落入活动家、研究人员和任何好奇的人手中,进行窥视。Epik 是一家域名注册商和网络服务提供商,以服务右翼客户而闻名 ...

2021-09-16 19:08:17 2 260

热门活动

T00ls专家

zcgonvh

荣誉会员

文章26篇,精华12篇

1

Twi1ight

荣誉会员

文章37篇,精华11篇

2

Bypass

荣誉会员

文章26篇,精华5篇

3

Rices

荣誉会员

文章154篇,精华5篇

4

lyxhh

版主

文章13篇,精华4篇

5

Hmily

新手上路

文章18篇,精华4篇

6

ph12h0n

荣誉会员

文章39篇,精华3篇

7

backlion

注册会员

文章31篇,精华3篇

8

xflxfl

注册会员

文章13篇,精华3篇

9

遇见孤独

荣誉会员

文章51篇,精华2篇

10

最新评论

最新精华

渗透测试探索低版本.Net反序列化实现Exchange RCE

# 探索低版本.Net反序列化实现Exchange RCE## 0x10 起因近期在 ...

2020-10-20 10:23:31 3 944

渗透测试Spring Boot 相关漏洞利用 Check List

> Spring Boot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全 ...

2020-06-06 16:16:41 63 10582

渗透测试Windows内网协议-Kerberos

## Kerberos协议### 简介Kerberos是一种由MIT(麻省理工大学)提 ...

2020-04-15 21:59:32 16 1433

渗透测试这是一篇“不一样”的真实渗透测试案例分析文章

# 0x00 前言本文是由一次真实的授权渗透案例引申而出的技术分析 ...

2020-03-20 18:16:34 80 19115

渗透测试Windows认证原理解析基础入门学习

#### 0x01 前言简介本文借鉴安全界各位大佬所写的Windows认证入 ...

2020-03-17 13:07:21 16 759

T00ls春节献礼之二:PHPCMS最新Getshell代码Exp,通杀<=v9.5.2所有版本

PHPCMS最新的Getshell,通杀Version<=v9.5.2所有版本废话不多说,直接放出Exploit:[code="py"]#coding=GB2312#Date: 2014-01-11 23:50#Created by felixk3y#Name: PHPCMS <=V9.5.2 Arbitrary File Upload Exploit...#Blog: [url]http://weibo.com/rootsafe[/url]import osimport sysimport socketimport urllibimport urllib2import threadingimport msvcrt# postu: 文件上传post的URL# s ...

企学堂(ct-edu.com.cn) 存在未授权

根据《中华人民共和国网络安全法》,本站漏洞永不公开,若厂商想了解详情请咨询admin@t00ls.net!

Top ↑