中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss
4 q9 g- S2 t5 R% h
本帖最后由 Lightly 于 2013-10-26 21:56 编辑
# ~* U% w. K3 I+ z0 E6 A
/ S! S4 Y& Y& M( F/ A# R漏洞[/url]先要注册一个新号:
/ G6 T" b. I: @7 Y" ?' D" `名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
6 g! r$ y2 B$ ]7 j6 ?/ C4 `8 y- j8 D; V( v8 r0 Z

% ?# E, o2 T$ e9 B( l) h. o$ B[attach]277[/attach]
& B4 h7 w3 I( Z1 }! w; d$ O1 k4 C4 W
. Q; V1 k- a, h8 E+ ^" O' ^3 ~7 c' L  r7 m- g5 G! v1 i* d

0 G1 j0 ^# c5 O# K1 J8 f. U写入Xss代码的地方一处都没有过滤!2 Z- q% |' ]: u' _0 N9 Z- s

( G/ j* p0 \; h8 @- `6 I+ n
! G& T( i( `8 y1 v' `- ], ^& L# P" i# O. t% s$ |
8 b* t! x& ^( J' b
" _9 r* M# M) ]' f" s% ]

# ]' O) x/ ?# f0 A& x
$ ]2 q- x3 `$ S' n3 A: N' @. ^) y4 i9 g' p6 M! z
& g. J0 ^% l/ N/ {9 |. x
[attach]278[/attach]
, x- b9 _. e2 o' V8 T6 I$ _- b) J

* X' G5 R$ i: C, q2 E. ?* C4 z5 ]6 B5 p! N
: r8 \% c  u  M
[attach]279[/attach]# W  n$ X& S# l
4 l: n7 D  P0 E6 b% G) X
[attach]280[/attach]6 w  S# d3 Y# f# ~7 y1 Q
7 Z! H, L  ^/ n% b
6 r, X/ p8 h* _8 k4 j6 l( ?8 \  _4 \
; h. h) |$ l3 `! `; ~

  d/ r& d! C/ S" @6 }% S, p, u* U& T7 w$ ?3 ^; ~$ V
修复方案:
' l! k6 p/ C, j9 [0 R# v$ V4 r# b* r2 i, ]4 X2 t. |! \% n, T- B) W# l
过滤,转义。 3 ^4 J/ ?7 c9 Q* k
0 Y* H  c1 h( F/ b

4 o; I* \  c: R# r- g# U& S
* r" {& K7 o! e* G- \
/ j1 u$ K3 Z; X/ R8 b
8 }, r) r0 C$ I  K
& H- k! H, l- c1 p! [# z




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2