|
|
2 b G' X+ l& |' Z' P: G
本帖最后由 Lightly 于 2013-10-26 21:56 编辑
& l9 ?/ S. |7 F/ o9 w6 q
# d# ^1 P) `# V" ~, @& ?5 V% L漏洞[/url]先要注册一个新号:0 {- H2 Y: j: @! |; l# Q% g% `
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss# S9 D; i3 A. p) V
% b# D1 Q6 [3 p" w
. b. X0 _9 {8 \& M ( C* Y- @$ L) j" K
2 A1 `5 ] I q' z" T! p2 _, }0 L
* z4 V: S! ?* T. k+ y
( P1 d: n: n N0 M2 g写入Xss代码的地方一处都没有过滤!; U: x" I! ^/ A! c) d, a% Y8 c
# b2 @, q Y# t6 P' Z Y" r2 W
4 ]/ k! _ M% p) {
. ^+ j0 O/ h' y) @% [
& r# W9 _) @0 s/ v! m
! b2 F5 Y, q/ a6 t! S
3 r0 ^2 O4 H% F# ?5 Q; [# g. K m# p$ X& G# K( K4 ^. G4 ~) ?
! p" `& y. [4 Q5 B& Q' ~% {( W* \ k* t2 z g) K) ?( b
1 v5 ^4 X" i9 B2 J
1 S$ b3 B; C* Q, g1 {
- W. N0 S; v& V
7 S7 R% \ H" J) \1 N! l/ b) s% A7 a) i' h
" q2 e8 G9 f) i3 a9 Y( E# J( y& M: F* v: V1 C' H
! x, Z1 [" o- U) E) `
* S8 C: _' Z. y! a1 |3 I r0 L
9 t5 D; S6 E6 a2 c7 ?- j
2 s: r, M! k% `0 ^ g2 W$ u& y: ]' z. H, b" z0 s
4 \: M3 u) |; V
修复方案:, Q9 a7 m2 i7 z& x$ M, h
. h8 F% i* H$ A' g. a7 g9 V
过滤,转义。 $ N" v! r9 A9 v4 A5 t( l( Q8 m
2 `, \+ A/ U: D- Q# I9 x" p! h7 f
: @: K/ P3 u6 D# o$ ?
% j$ Y" x' U; j3 o" `% z7 d$ J/ C }
7 P# a5 Y! ], m; f5 H6 g: k$ W% d, c: |$ P# _; P1 ]( c. G
|
# d; }" e4 }- j' ^4 N' l+ G. J7 `
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对