|
|
5 Y% M( c6 E; A n本帖最后由 Lightly 于 2013-10-26 21:56 编辑 i. G. J7 P1 \/ M N, m/ t
" ~# I' {" |. q6 U1 _漏洞[/url]先要注册一个新号:1 H. c' W- b7 v. f% i
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss8 G. }* v/ L4 i3 u' B
* a0 O+ q/ T7 c! P+ @
% U" b. t4 |9 t " W V# X" L' _- @
+ A* J* P$ t2 @2 ]! O2 t- f5 l% M1 |& S" W/ o% ]% W8 ]/ [$ `6 p* r
. A$ h, g' ^9 S- m+ L
写入Xss代码的地方一处都没有过滤!
4 h8 U7 j$ v. O# F. W7 V
- k; ]: x" i6 e' M, R4 ~1 P/ b" Q7 H' \. @! T
* ~8 d8 y% e$ w9 b3 ~3 x
0 _& |" y! M# b5 V: {& ~! N
' ^- J" y( ^( R2 u' y5 E7 Q6 k$ \1 O& f4 L# A$ @
T }: P7 r. u O3 N0 c1 _' u* D! r5 @# C6 n
8 l$ u. S0 }, E F2 J6 ?
* w+ x/ M& L3 @; W1 L: \5 w) f& b/ }9 i
1 z9 z- a1 ?5 b! W0 X# B* I; [4 Q
% J$ t$ e1 D3 X( h1 E
. D/ @% f" Y" N6 ?1 j/ p
V. M3 }1 L! ]/ h' K0 J1 j5 p5 _& ^# X2 ]# `4 S7 x D
' J6 v g1 i: [. ?( D' y
# C% r v6 n: ^' Q* E5 p4 o
: s9 a! |- l: j# ]1 d
/ ?' s; T# g* L* R$ m# h) W! W! r% P0 J
修复方案:2 T+ i* z# w3 K
+ ] f1 d( d, f! x! [
过滤,转义。
* r0 @, |" w" V) D: r3 {- E' U# J9 |% e: @. E6 Y2 S" e
, g) P/ v, m% g% m2 a2 F1 x) i3 z! U# t" U
7 l% R: ]2 ]" K" r `
) d' P- D: h4 D2 q9 o |
4 g5 N; d' @/ y* d3 r" d |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对