|
|
a/ K4 v. w4 g0 Y3 I6 A! p本帖最后由 Lightly 于 2013-10-26 21:56 编辑
! k7 J; T# a, N# s( u' k) j, N# z( C/ p
) g& F! [6 F0 G: ]' ?% P/ i漏洞[/url]先要注册一个新号:* {* Q3 ]$ r1 v2 h: T
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss; [; {! R, M0 {
' e. _7 i8 y& ]! V5 C
% B3 Y2 h) x! O. M0 ?0 u
7 `7 [# w( D' e9 p6 D
% ?8 A6 P3 x, s1 x1 n" H
, z+ E7 y. Y' ]6 S
" ~1 m M6 v0 A写入Xss代码的地方一处都没有过滤!" S4 I9 u5 s6 p" z2 i
' N4 H/ F4 y: e0 D1 b. c% H7 Y: |0 g# m) K
8 p+ \( D, o4 Q& E v5 @" K! ]3 C5 P" B) G6 F
5 \1 @+ Q( A& {# U( m1 I k
4 J; Z: k4 J7 p" I5 {: k) k+ q- p" d! Z2 |. Z1 }' V
( N; [ N# h4 e6 v9 F' U
' h* B' w1 ?* f' K
1 i1 c5 x$ n! |& }: d# }% ?& }
9 H( j) ^$ E% n) f+ i- S+ f1 c4 G; W* p9 J' i
: _; \/ n. Y6 o& [2 b2 c" m0 e3 g6 J+ N
) A8 E, C2 I' }. g* O9 N& M; @, r! s% Q
/ s% {) b/ q8 _ b! y0 v) C( m. t
5 {- C% }; r# N& T/ N, {/ O, q- U
' l+ ~) ^- s7 c/ J
. L+ m; o% w4 M$ g! j+ l9 T" g7 L
8 b* x+ e Z6 U+ ]- Q
! S; @7 h5 q O8 K. C( @修复方案:
r5 g3 K$ M+ n9 R1 w$ b% M1 U9 H; D7 K: K, R
过滤,转义。 ) v, P2 N8 {( A$ ?: a9 c
3 d+ n9 m% v7 q
6 @' [7 H2 F H. |8 m
$ u+ G) d j4 }0 O1 R+ j: X1 j# o: ]9 n& Y
. k7 v0 g7 s, @, f2 o" ^" a |
$ [$ `, e' d" W( A0 u
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对