本帖最后由 Lightly 于 2013-10-26 21:56 编辑 l$ K# C0 n8 g# a: _
- `* W; z$ `4 N6 B% K
漏洞[/url]先要注册一个新号:1 R1 ^+ ?8 G$ E. }7 C5 Q" M" A
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
E! p1 i: \1 f" Q f7 O' G
* q$ \( S: O" @3 C# e
9 O' C2 d% E% T- t l! ^[attach]277[/attach]
3 O: E! n- V/ k6 a1 {9 o( l& t& ]; ~/ u7 x8 b+ E# @( k
2 L8 V9 p7 V- @& \: X5 @2 {, T* h$ {' y0 [3 Q
写入Xss代码的地方一处都没有过滤!
( p( S7 w5 }. W8 p) R8 ?* h' t- ~
' a$ w0 z7 h0 B) _! P* V* }8 [; ~' G2 T
) E" n) z1 } z- U% v: _' a0 e
; n( k9 l3 E! z v- `1 \4 V1 y
# }- m5 h6 e F" A/ g2 Q5 E( [8 L
# o3 a8 q2 N0 g9 @$ |6 u
# x+ @- _- ~; d, u6 t, b* b" X% Y5 C d N% _
d b& \# X7 f2 X) l9 n
[attach]278[/attach]
1 U* l! t$ U) ]5 Y5 t) [
) B' Q: }# x! d) L
" W. V* A; A8 k4 J- D# _5 F& V- t
, Y6 `2 ~. N5 G* q
6 d9 k, p2 j7 t[attach]279[/attach]7 l- ^, d) T, n/ d5 Q: o
6 Q% a( Y+ t M) z2 a[attach]280[/attach]
$ q& | J$ [ K
" L- {0 w( z& P B" u: r
" c+ A* E- I1 j2 s: ?# h
! r; Q) e& \, V! Y3 O$ {
3 w: N$ @6 i+ R) O
- F" |7 b( ?$ ? U2 h9 W% Z修复方案:
% o, k% |4 ^/ U4 u9 z
, D' |) x' Z: G" Q( _8 W7 n过滤,转义。
& ^0 Y' ~( \+ h( W% ^1 o7 r- M. q4 ]7 z8 M O( k
/ K3 b0 m- W+ Y3 O& F# I
, C0 w0 }9 C& E2 q+ T9 k- u8 ~
. f- ?9 D; g0 W7 N3 K }, q# z
; z, h+ a7 } o- R) O( Q* V) R/ n |