|
|
2 b3 C: ?1 M; p6 G# b$ Y
本帖最后由 Lightly 于 2013-10-26 21:56 编辑2 B' k" n! E, H: z- \8 i- V$ b. v
1 n. ~! r, i* ~9 |+ y. q5 u- R6 G
漏洞[/url]先要注册一个新号:3 I! ]( y2 y5 `* d! k. W
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
7 `; r4 @; j+ q+ e- T5 Y+ [) J: E- P4 I E j- z6 k# D
; S( \2 \8 J4 p. X6 S! A1 _' {
+ ^, v1 T3 o& C' l# K. e& p. }: m# U# \2 a3 m
" s' |5 f, q: l# R: C5 A0 z7 i$ J9 D2 C$ n' }. O7 q
写入Xss代码的地方一处都没有过滤!
) W9 k1 G0 ~& {, x2 X9 { D; M' r( D, m: A8 C# a
( l5 o' F, N% c, _& L2 c H: s/ C2 t E5 f
3 K E! x' _% T( Y. o
) [! T" ?- y9 O. r
6 a9 ~/ F" a0 q4 s. [! ?, z5 i
$ R7 ]. p, N: l
, F/ h! N1 N; a8 F$ k
$ i. i( {8 Q0 V& C" n4 L( w+ B; G }# f, |7 J
4 b6 y: D/ P: R' U
6 P$ j* g3 W: l4 n7 m7 k( W3 u
1 F7 [1 o4 G+ I
& C8 I+ I$ P, A3 v& Z! L6 W5 ~! p3 J0 i% I" U* d$ i
8 a; R, C4 s# u, P
# h2 F9 S( J) F
7 Q- f2 @9 w, G# q$ j8 X |0 ^2 N
3 F" S# ]8 ?: R/ l0 r/ p: V$ `1 e4 y! J, V/ y
% r, \$ j2 f% N7 H7 J! @& n& B2 _- @
修复方案:
j! @8 f& T( O3 U
0 S9 p! z! i; g过滤,转义。 {/ q( K' `$ ^1 I8 J6 v
3 d4 j6 U& ]2 S5 k* z7 Z' M: G$ Q$ y' j
: l$ |/ U/ w1 x
( p) y2 w; W9 B+ d, Q, [2 m7 D
7 f, o2 l7 p- n% \ |
% g8 X4 E, |4 } |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对