|
|
. E2 I" c7 z( ]3 B: f4 S9 ^0 h4 [
本帖最后由 Lightly 于 2013-10-26 21:56 编辑- g/ d; c* P9 y4 H7 O% R! c
0 _4 D/ X9 E+ e! W6 [" ~
漏洞[/url]先要注册一个新号:
! R$ q G7 c# F; H: s/ m名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss# n8 q" Q+ M+ z5 f/ N S
" d5 `4 a& H4 T. V
3 C: m6 M7 n! \6 i
" [, b5 d9 r" x7 ]. D
, T) ?3 Z+ m: P7 t4 ^. ^
, n' j, \$ f/ o( @7 @* k4 b D. v" K; `0 q. X; C8 h
写入Xss代码的地方一处都没有过滤!
$ i' a6 x4 p( t+ n- O& o9 M
( Y |) H/ [# w4 z' `' G8 E
7 }0 A; N, X# m) j; A6 L# o' j+ r& V; b! f+ J; }% m
0 i/ j# I c j0 k5 q7 c% K% ~+ ~# j
+ }; o, a/ D! [
7 |, F) |% ]& W2 K# v) N( O! h0 E
: c Q z/ f/ `2 t( |* B. F2 o0 o' `% z6 f
: { o1 ], q( R: ]" {6 k+ V# ]# { u! {2 j
" V$ ~" _ p9 {! V
$ ~/ E8 [0 v0 S2 `! a3 Y9 e' i y& P. T# R H( g* g
`$ I! E! Y2 h2 N+ V3 x
5 c1 W7 E, v/ |" {
4 } [: O- G2 g. x' ?) [6 T2 m
/ z* e1 M: ? g7 K9 H+ r& ]# `, M$ s
, E2 X' e2 t. n$ m( U, ^
$ h% t2 G" a+ g: {
) l, K% g2 g, c$ [ v0 x+ r, T1 m3 \8 @5 ^: n. ^
修复方案:
1 a1 D9 B& e$ K3 ]* B3 g1 u Y" k4 O* L+ ?2 d2 M- s6 R5 q; C* P
过滤,转义。
l" D3 b% R" W+ l' D' l* Z* }/ b, S6 }) H
! v+ g! ~0 @0 N0 [1 i4 k. P. n7 v( b5 ~3 _/ Q$ U- B
4 }& _7 ~" _ h. Z
# P5 V5 c( ?8 l8 U7 \; Q5 V" e$ F L3 J |
0 k! d$ w# s* H( Z) N9 M |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对