导航网站自动收录漏洞-被劫持

1327067592 · 发表于 2020-5-23 18:11

本帖最后由 1327067592 于 2020-7-25 17:13 编辑

导航网站自动收录漏洞-被劫持
我想搞个导航网站来着，看着自动收录的网站然后就发现了很多导航网站有这个bug
自动收录网站：https://www.shoulu.link/
BUG后果：可以在网站上上传任意js html代码，会被劫持，跳转等等。

BUG原因：

大家看图，只要我在我的网站上面，做了导航网站的连接。然后点入到导航网站内，
导航网站就会读取，我网站的信息，自动收录到它的数据库。
只要我在
<title>标签里面添加上html 或者js代码。就会被收录到导航网站内。我看了一下大部分的导航网站模板，均没有过滤html代码

[HTML] 纯文本查看 复制代码

<title><meta http-equiv="refresh" content="5;"url="http://www.baidu.cn/"> </title>

然后这个网站抓取的标题，就变成了代码。植入到导航网站首页了。然后网站就被劫持了。

声明：这只是漏洞分析，大家千万别去恶意破幻别人的网站!
如果你也有导航网站，自己加个过滤代码修复吧！

给个好评谢谢。！

1327067592 · 发表于 2020-5-23 19:28

Takitooru 发表于 2020-5-23 19:26
应该是入库的时候没有过滤html代码吧，入库的时候应该只取值就行了

就是过滤一下html即可，

叱咤风云 · 发表于 2020-5-31 04:02

利用这种网站做外链很不错，我看到很多网站的分类目录都能提交进去，是不是这个原理？我还是没搞明白，请赐教，谢谢

wangyoo · 发表于 2020-5-23 18:31

好的这就去试试

1327067592 · 发表于 2020-5-23 18:33

wangyoo 发表于 2020-5-23 18:31
好的这就去试试

微微，别干坏事

lizf2019 · 发表于 2020-5-23 18:40

??这个是只讲了个title吗?

lizf2019 · 发表于 2020-5-23 18:41

自动收录的那个工具是指的是被哪里收录?

菊外人 · 发表于 2020-5-23 18:44

谢谢分享

cj13888 · 发表于 2020-5-23 18:55

学习一下，支持你

cj13888 · 发表于 2020-5-23 18:55

很有趣，谢谢分享

evilGee · 发表于 2020-5-23 19:18

怎么干坏事手把手教一下

stardxxx · 发表于 2020-5-23 19:25

是不是网站的搜索等也要过滤丫

帐号		自动登录	找回密码
密码			注册[Register]

[其他转载] 导航网站自动收录漏洞-被劫持

免费评分