|
|
8 B: g# M9 Y2 h# ^ Z本帖最后由 Lightly 于 2013-10-26 21:56 编辑
7 t% f9 [1 O5 N
5 W" H9 ~& E: ~" }' a/ k' x% }漏洞[/url]先要注册一个新号:# G" N" P1 }$ i. y: H0 {7 `, r
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
/ Z9 S$ @7 Z& v& P* G5 d, M- y, r( y9 k8 F/ f) o' z
- R7 }% l9 p0 n I# ^/ Q1 a
+ l. R9 l& h7 @. L( a
; A4 i+ A" G3 D! D8 [
% U6 ^, y E# Q) F# M, a9 n5 D2 D' ^ Q( {% C# N$ S
写入Xss代码的地方一处都没有过滤!' }" k7 c( y- G
6 @6 M) h/ [' X% }0 M( U$ O
! y0 k T5 V. l, p6 n# W0 _4 L
) o: M4 @% K% N) {; H4 ]# v; z
. \2 d& p5 c4 W5 M
: ]$ N2 n, I7 j) V" e$ H$ L) L/ @8 X& I0 D; F+ ?) b
% m( `' ?5 o+ k0 O) d8 R2 B9 N, y6 [" @- h6 o$ v
- V- P2 j, T3 `0 X! X- u
/ o" H4 |& }' x( s7 U% d7 ~' C
# {: i$ _7 ]! {0 C7 E# f% H9 p5 C- Q- H/ M+ y
7 {9 M0 B) _4 G# z' z
$ \# O5 I" Z! {0 A9 i
9 ^. s9 W% R$ n4 \# a$ `) V/ ?) M( M% E1 @
! A l8 Q5 l5 ~8 {# _6 t" e7 I" s& g0 i. @
9 r+ x+ ?% y5 F" @
7 J$ g. r% G( [& w- `
+ B6 t: s' r6 @0 u+ \
7 k; M# h* o6 `& f! k; u* ~/ _修复方案:
' i7 H& F& k+ J8 F& l9 i0 Z c& L& l5 E& B \
过滤,转义。
" q4 K. P3 c. O: F. o( a
" J0 v- Q$ p1 F- L, P
/ ~1 s( V @( g9 i
4 Y1 u7 m, S! W+ p; G8 ~
. i0 t" B, O- t% F: L' e1 n4 t% I- Z3 y, G/ K: k1 b
|
O& l4 v5 b0 P( n' o' ^/ x
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对