百度空间 | 百度首页 
 
查看文章
  
QQMail的一处跨站
2008年08月09日 星期六 03:29 P.M.
本文胡乱分析,作者完全不懂脚本的-0-。

这个来自我的一个百度好友,测试的时候可以这样:

http://mail.qq.com/zh_CN/htmledition/go.html?url=http://www.baidu.com

分析一下,实际上在执行这个的时候代码里是这个样子的:
if( typeof( _url ) != "undefined" && _url != "" && _url.indexOf( "http" ) == 0 )
{
    location.replace( _url );                   
}else{
    Show( "msgError" , true );
}
一旦定义了url就实行一个locatiom.replace。导致可以跳转到我们指定的地址。

类别:乱弹天下 | 浏览() | 评论 (2)
 
最近读者:
 
网友评论:
1
2008年08月11日 星期一 01:03 A.M. | 回复
这么久了还没人顶? 现在还能跨~
 
2
2008年08月11日 星期一 06:32 P.M. | 回复
不算新漏洞吧,呵呵
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu