中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss
! X1 H( g6 I! K6 E
本帖最后由 Lightly 于 2013-10-26 21:56 编辑
3 [. ?- ?, V: C$ `* o) ~
$ \5 a) j5 f- j6 G# R漏洞[/url]先要注册一个新号:
' [0 \1 m6 y$ j: `" j( r名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
% W7 }/ f' `+ E: C9 F& {0 @3 F
+ ]& E! `5 ?! a" X; @
) j; j2 d; F; ]; Q1 w. L[attach]277[/attach] & U+ x$ W  G/ e
% K  e3 F6 L$ e) g

* ?, }9 ?/ s9 E  p$ v. `' z" n
8 L' {' H: Q/ z2 q. r7 e写入Xss代码的地方一处都没有过滤!
/ M; D: u" C* @5 k; H6 P  d0 q. A6 S0 k# [
" ^2 R( Z- e' }( G# H

; Y3 r+ k6 F" Z6 J6 j9 D' Y' h& c" R5 ~

( c2 b  }# r! `) C) ^
; |* O5 F6 v% ?0 C6 h- P/ }' ^  H, N$ C) ^$ U
4 P$ F' G2 U1 w5 y

  j  C& y+ V4 U2 [$ y9 ?; X# V8 i[attach]278[/attach]
( G9 U( |7 b1 `. J1 {. ~& h1 Q) z6 a1 R( w$ @! O1 s

: V. Q4 k5 j1 m+ o4 ~$ {6 ~! _( Z* `* k5 c! C) Q7 Q
+ M- L% ^6 |- n  J( k  W3 p
[attach]279[/attach]' c8 d8 P0 e* R$ [* B! K; g
3 S4 N6 K0 n3 J1 B
[attach]280[/attach]; c, `" ]' J( h# {& V
0 [. w6 j' y( x

, ?2 `) S/ P+ e! |  G% c: c% i. h. n: Z/ U- T3 z' I6 w
- O; b1 [& W. M9 @4 j' r

: C9 W- m+ R- q' M3 z修复方案:/ x+ A( w# Q7 v' X) q* L

8 r+ S# r) Z6 R) u' _5 o过滤,转义。 8 _9 [# g/ e. P/ K  X

' l0 L6 v0 Q' f. Q- b( p/ I& q. j
$ l% n: ]( c; K  L
" h" R2 _5 x( U0 K, G
+ N. c7 M" n/ k% f) L( V. y
( e6 d7 i2 ^* o1 R: G- C
. Y- c6 ?% O! I3 x! O  e




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2