|
|
0 d0 K2 b0 i1 b! N) W
本帖最后由 Lightly 于 2013-10-26 21:56 编辑0 S* H+ C9 w5 o& ?8 @' Y: A! c9 P
. M \# }1 F ~( W! _! u6 ^
漏洞[/url]先要注册一个新号:
; o: [+ N; Y8 D3 l7 O* n+ v4 z名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss, k1 \) r8 K0 G0 P
8 ]0 N4 y5 ~0 y* p9 u q% D1 p; I
1 w" f2 K: D" B" L2 g5 l0 `
, A* I) m& {- L
, U# ~0 Y/ R9 M# U7 l: C- M- e9 _6 O( [% k. m' B- }4 C( h
" m( j+ X$ a* @8 x
写入Xss代码的地方一处都没有过滤!$ h- d1 d* ^ p' ]" w8 v [' Z
8 k: R6 b4 z' {* {- R1 n
! d, ?; u1 \+ K. b
. B2 D8 d# P! I" U# V
( |( d$ I E( G# L% a* c; @1 p( y% A
& b3 n- s9 G$ t
$ P4 ~; |: E# L. h- P$ I& [3 p9 [
- h5 O& l7 {( p3 P1 ~6 G/ R) b2 e& J$ I0 r% J% V
( P( E4 D. K6 `- z, |& T( V
) C7 ]4 }! b6 n. x1 ]( V: X
( d+ ?% C* N4 `0 V8 Z$ y+ V5 `7 J; w4 c
1 c N, I0 I' \8 c5 I9 E$ A. r) D! ?# B! F/ v: a
+ w8 x* B- o; _/ J, p8 O
8 g$ J, Y; k" E1 b0 C. I; H% M' N& t0 Q$ j/ X/ \8 U9 Q
$ ^+ W) [* n0 {, F+ d
& O9 b* j0 \0 r8 U N4 q j5 E( ]) U6 c* }4 z2 D5 ^3 Y
- i( C& K7 U9 \6 G# H6 d* B3 ~
' ^5 `7 d5 ?+ e" a修复方案:5 W3 x8 {$ v9 m* t1 o$ l v
( I* V; |9 O' z; g" `: R5 \. X过滤,转义。
- c: F1 z& |& N, o1 i& j$ ]- {. S4 J1 d
K/ x* T# @1 u1 J C4 u4 \$ m! \: x+ T& k/ q4 g
7 F* n$ d9 f, X' p/ i- V* r! o2 }: r
$ E$ a' V5 G9 t4 n; k6 n, l% P |
" ]- }9 P8 Q, l, a* C
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对