|
|
* P" T0 |' I+ ~3 r本帖最后由 Lightly 于 2013-10-26 21:56 编辑: d7 F- ^0 p$ ^$ H9 h
3 z# w3 [) E. P+ [4 r' G
漏洞[/url]先要注册一个新号:! X! e0 K- E" v
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss8 X. D2 a7 h8 z7 U }
4 u1 Y# F( P1 v' ^2 [/ W: p
( j! F) I8 W/ u( w" R 0 l" x# _7 m- [5 x+ T" L p
5 K3 D) Q) u& o0 h- R
; n( D3 W( F& Y& X' X
1 r% d9 O% C( u& _! b写入Xss代码的地方一处都没有过滤!
1 [6 j' D3 j( f- D( W
0 I' l" N4 c( |$ m' d" B' r# u2 i, \' l! D$ n5 q! U/ Y
. o4 c! X/ |' k; ] g- C) n5 |
' D2 O4 |! B0 L1 m9 D
4 ?9 D. p( `1 u# d0 K& z. E2 q' }& I- \2 T- ]3 _# Y$ O; K. a% k9 ~
/ y2 c6 ~2 D8 N8 P; J7 U: G4 h0 |$ M2 E0 T5 t& v% d: _& x% p
, w; U" n. f2 s" p) x/ O/ E# k) ~, G' [/ o# D( N! Z
6 K4 B: ?- a" R6 r- q4 y( F1 s
6 {" I5 F* M- ]1 b6 e
( a- @6 c3 g! K* w# }. l8 ^5 F O9 B# }& h3 t& n
% I( r6 Y2 @3 R1 I& c3 q: |2 s1 u$ T4 l7 U# l
; e+ Z" n6 C( t3 T: s5 W& @
% E) ~6 ~& P5 Q2 G, B0 q- k# @
$ @1 x$ Z# B4 ]# x! `
' u7 S1 z; b5 b4 {% z
6 X% ?* V0 v1 ]+ d/ d' e; ~" n) v" N: A; a1 T( y* c) m4 @
修复方案:
7 g0 P, y# t3 c7 N: r+ p/ o
* s! x8 n, [) s0 ]" ^) z, s过滤,转义。
1 M4 _3 P" a: ?" P* S6 n c
; t1 W' c9 e2 L
}5 x0 u. a2 D, v% d4 |
: O# m" e0 V0 H0 ^* i1 ^
$ y6 @8 ]* j6 I. P/ l) A
1 S3 q; r6 M3 o' Z% a y" c# H/ P4 @ |
" O4 a" l4 Q3 [& ^) C5 E. p- k4 P
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对