我是如何发觉一枚Cisco XSS漏洞的
发布时间:2022-05-11 08:58:42 所属栏目:安全 来源:互联网
导读:我在Cisco的IOS SoftwareChecker中找到一枚XSS(跨站脚本)漏洞,漏洞本身并不复杂,在此与大家分享漏洞发现的整个过程。 因为Cisco IOS软件版本可以包含许多不同的字符,于是我使用有效的IOS版本字符串又试了一次,我在15.1后面加上了一大堆A。然后我惊奇的
|
我在Cisco的IOS SoftwareChecker中找到一枚XSS(跨站脚本)漏洞,漏洞本身并不复杂,在此与大家分享漏洞发现的整个过程。 因为Cisco IOS软件版本可以包含许多不同的字符,于是我使用有效的IOS版本字符串又试了一次,我在“15.1”后面加上了一大堆”A”。然后我惊奇的发现”AAAAAA”竟然成功注入到目标页面! 现在我需要弄清楚,到底有哪些字符是我可以使用的。 注意双引号和圆括号,现在我找到我们所需要的了,这些可是能注入到输入字段的哟。 这是input标签,提交“15.1” INJECTION_STUFF_HERE 到表单中后的情况: 复制 <input …onclick=”redrawRSS(’15.1”INJECTION_STUFF_HERE … > 1. 好了,现在我***个想法就是将input类型改为图片形式,这样可能会有意想不到的发现。 结语 在测试这个漏洞的时候,Cisco工程师很快就截获了相关信息并修复了这个安全漏洞。 这件事情告诉我们:不要绝对的相信用户的输入,不要补了东墙忘了西墙,却把最基础的安全漏洞给忽略了。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐