淘宝网TaoBao.Com几处上传过滤不严
对swf上传没有严格限制.导致可以向主域名内上传swf文件.swf上传的危害太大.这里不多做解释.另外.
有几处fck.仍然可以上传伪装成png的swf.(不管扩展名是什么.只要加上flash标签,都可以执行flash脚本)
http://tianxia.taobao.com/uploadfile/2010/1222/20101222101004357.swf
<embed height="150" width="950" type="application/x-shockwave-flash" src="http://tianxia.taobao.com/uploadfile/2010/1224/20101224072517201.png" quality="high" allowscriptaccess="always" wmode="transparent"/>
http://www.tbtianxia.com/attachment.php?&action=upload&module=phpcms&from=fckeditor&id=2&dosubmit=23&MM_objid=content
http://design.taobao.com/shop/designShop.htm?action=page/TagAction&event_submit_do_upLoadFlashBanner=true&userId=xxxx&flashPath=http://img.uu1001.cn/materials/original/2010-06-14/12-29/11111111111111111111.png&flash_sid=000000000&productId=0000&sign=xxxxxxxxxxxxxxxxxxxxxx&
http://banner.alimama.com/wangpu/apply_design?coop_id=superwangpu&flash_path=http://img.uu1001.cn/materials/original/2010-06-14/12-29/11111111111111111111.png&ad_board_id=111111111&templet_id=11111&person_id=111111&is_ordered=0&is_b2c=0&apt=aboard
这里个人敏感数据我替换掉.怕被社工.
另外,店铺后台这里.flashpath= 可以随便应用.当然是跨不出img.uu1001.cn的.
但是经过测试.flashpath= pic url后面,&结束前 依然可以注入代码.
还有一点,实在搞不懂,为什么店铺后台那里,完全都是get操作.而且基本都是明文. 没事整起taobao了啊你。既然上传过滤不严,那是不是就可以说成,可以在自己的店铺主页上挂马?太强大了吧? 有那么好就好咯。。。。。。
页:
[1]