中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss

) z6 E& C* _0 r1 j0 M0 Y* c
本帖最后由 Lightly 于 2013-10-26 21:56 编辑  k9 Y$ ^/ }% _- i& u& f
1 ]5 `4 _- {/ k. F" ]9 S- |
漏洞[/url]先要注册一个新号:+ t& k* v7 A! f
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
9 C8 A& {' n" l; H  f+ D( m3 k# X, {: e( ?: g. B$ B9 h
0 J) W1 w# e" ^& m4 _3 r
[attach]277[/attach] 0 k$ j; |/ y) j; j3 g

/ O0 `2 H. D$ A+ I4 _' L5 T0 z
- J, q" ~/ J$ @; D& C( v) u/ o
7 D- O( f; g8 J9 f' V- m& v' d5 F9 F写入Xss代码的地方一处都没有过滤!
& z: H- x! Y& [( Y
1 q' E4 j8 e& j4 \4 z5 u
  ?, ]# P0 P$ O7 T% P+ x! A, B' A) A! Q( g& b% ]3 f3 w0 s) J- @# [  {

; h+ I  |0 Q7 I( S  S, u- }8 N$ q0 S
8 Z' k+ q7 m/ ~8 P
6 `, E9 N, w% c0 p2 {8 R9 H  ]1 l
6 x3 @0 t1 G. {3 m2 ]1 e% o2 f( s

9 W- n6 u1 ~! F[attach]278[/attach]- @% G* I/ \6 H' C2 o& J

8 L4 {1 e. @/ Q( h2 Q1 L- ?6 M. u! [7 |/ }0 ?7 q$ D; t$ B2 N
! R1 U3 o' g2 l7 e+ l

& ^2 y" t7 k7 p" P& }[attach]279[/attach]
& {4 W2 a/ a0 E+ K+ l
$ Y9 {' m* Y; E% }1 _[attach]280[/attach]4 d) g' x+ i' U
7 t3 N0 r1 a$ u1 l4 s0 T
8 ~5 {8 f/ U9 v$ k
* }  h! x. Q) |% J' I1 d

+ z' N) ^; T- p* F* Y2 g+ [0 q* p4 x0 g4 B3 J. N
修复方案:
, x& ~1 o6 K$ a$ \$ e( V5 [3 s( ]4 r- e6 A; U6 d9 s, i2 \4 H
过滤,转义。 5 ?9 l2 F* x7 L; S

8 D% A# N5 ]3 n: U! p0 \
7 N3 J; G; b4 M( H
1 J$ m7 ?# ?2 w% d& |
2 r( g& f+ @$ r" o" p8 n/ g
' p# a. p; h; B3 D& x5 g1 [: D

5 o5 }) R5 t- M, u; V9 @



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2