中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss

, [- T& H2 h, F3 `- G0 w3 g. C
本帖最后由 Lightly 于 2013-10-26 21:56 编辑8 [3 R  S8 l7 k# X

6 {' U5 m* V6 W3 r漏洞[/url]先要注册一个新号:: _! \/ g5 ]; Q6 K/ ~
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
$ a( X& W  p; G
; u) W  ?; z% d2 p& L+ t- O0 q& [( N. x: s
[attach]277[/attach] , ~, |: P8 s$ d9 n

2 f0 O/ A, N/ S0 a& W/ q- F
7 N- |' S+ x; S) [% ~1 B& B. [$ k" f
写入Xss代码的地方一处都没有过滤!; p. Q/ ~) d% x/ D% f1 A

2 N: R5 \2 c8 X# u! l- E
9 K% D8 x. e& l4 V+ a! ^% z5 A$ G' u! a' Z4 ?, L& V
5 K* S( }; T+ A" n1 d8 w
4 a* b. h7 S) y; J- q3 E

+ i# t6 ^/ S) c2 u7 T+ E1 Y, i2 F1 J1 y" x) P6 g* J
1 O5 z" l0 l+ e0 j" \5 K9 A
4 L7 Y% [8 D, M& B# V9 a: S2 z
[attach]278[/attach]5 i& i& K& k* L5 r" Y' W! x7 c* O
4 J' Y# i, W+ Z; O4 @2 p+ p

5 {- V6 R) _  |$ [: `  F/ R+ J0 \4 |
  ?/ h# M( c( B* Y
[attach]279[/attach]
* T1 r; P6 a7 v, W4 [9 A) r. E! Y4 Y  h' }0 |( F( L6 k9 w2 l( H
[attach]280[/attach]
7 c' u$ A' d( {: k" M  O
) z0 O6 p# Z+ x. n' i4 w6 Z7 m9 f

. G& l1 |2 d7 P7 l2 h$ {& ?
9 `+ i) I+ B/ f
2 L  D9 z9 B; S修复方案:
) f2 W/ M7 I! \3 x+ [
4 |; L& X% @/ G4 l" U" G/ Y; `' K过滤,转义。 2 y3 |0 D5 z; c, m4 d* t
9 G2 z8 P4 [$ H7 P0 b' I: g
& O  j0 c8 X) l" c
, k6 Z7 A- v$ O7 K( l; t- W' d
( H9 a" K+ ~1 z3 H! e+ X9 c, G- M: `
/ ~: _6 t! n9 X( M; `$ G

5 \! b5 ~/ f6 F: E9 O% m



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2