中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss

% b3 t2 [5 `! @& B& m
本帖最后由 Lightly 于 2013-10-26 21:56 编辑
5 b/ K- R5 x5 R  ?9 W- `3 g5 J. `. B
漏洞[/url]先要注册一个新号:
) t: Q) n( Z3 Q名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss3 k4 R$ O$ O1 m3 w6 F

  m4 d2 v3 ?9 }! Q/ \: B/ k' J6 u& C* `# v6 u' S
[attach]277[/attach]
+ e0 ?8 |- f% [' D7 @0 t: F7 ^
; O( T* y& W" e. z! H9 A/ h; B$ i: t4 ?3 c* ~1 v

! a" R" Y7 T( h8 p1 [! R3 G0 ?1 c- Y写入Xss代码的地方一处都没有过滤!$ E" Q& h$ h7 {$ p) U( v5 b
4 F# V, ?& L# r2 w. W; A- C2 q' W
" u4 t* B5 ~0 Z

' ?  h1 k" k/ g
- f0 a) |4 {3 {! e% M
5 p0 b8 D+ I+ V4 `# c
# e; a7 L' r; H6 W' X7 O
6 g2 ^( o5 i  D3 C/ K$ T6 l; c" g$ M4 I

& b" [" T+ |' a4 L[attach]278[/attach]
  |- |3 V1 B4 u0 |# S- A* S/ X# i3 i, _( m. i7 p* [
% ?& W+ x1 t2 J5 k
" \- Y( ~1 m6 l, d

1 D. z! V  U0 a% O[attach]279[/attach], ^! c2 u+ M+ t& m# t9 M/ r9 n* l

$ U" M) Q8 N* U" _[attach]280[/attach]4 y: [  }  g) o8 Q: M/ I

! q2 W* f4 V& W- @  {. u2 B  d5 s" d
- t  x' h( O+ N2 X4 u7 i% P  l5 K: f5 _
2 }9 s0 e1 z( Y- r5 V

; X* |2 i1 p3 _! Y* ^( W修复方案:
6 a0 q3 V; H; g# p& z$ p
# H& h" {9 l: V- c1 O) E. U( Y过滤,转义。 % _0 y9 ^# G/ @5 j0 ?0 t$ x
, ~0 o4 @0 O$ x9 e4 ?6 }  \
9 ^; J' N. ^& z. w3 `+ u* A

" m; r" n8 Z) e1 F2 V' _3 k' o/ @; X% A/ X) w

/ R1 l2 i2 Z+ j9 C5 N; e& U$ T4 u% ^
5 H8 b  n( \. }, t




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2