新闻来源:原创
昨天买了本马云的书看,发现其实淘宝也不容易啊.其实这个bug很早以前发现的了,一直没去实现他.想不到这么久淘宝的团队都没发现.晚上弄着弄着,淘宝就维护了.只要懂点JS的人都知道原理了.我没开店,只是通过发布预览实现的.实现的原理和我很久之前的发布的支付宝漏洞的原理大概一致的.这次的漏洞是通过发布商品的时候编辑器存在XSS漏洞而实现js修改页面的任意内容,也就是说可以修改掌柜档案了.尽管修改之后并不能永久保存到数据库去,但是普通用户浏览商品的时候却不容易发现.这个漏洞可以导致很严重的后果.毕竟我只是通过发布预览实现的,并没真正的去发布商品.如果发布后还真的存在这个漏洞,所有开店的人都通过脚本进行篡改自己店铺的诚信度. 那淘宝将又要失去一批用户了!
很久之前,我也发过一篇淘宝的XSS漏洞,后来一个说程序是他做的人加了我.可惜我没找到他.呵呵~~只能写篇文章了.
