中国网络渗透测试联盟

标题: 经纬网xss [打印本页]

作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss
: E" r- p% {8 Y1 R: o
本帖最后由 Lightly 于 2013-10-26 21:56 编辑
- W% z' ]" q# M& @& {1 L) H2 o2 K. n, i
漏洞[/url]先要注册一个新号:6 H$ ]: g2 _; g8 n9 S; X! H. U3 V0 z
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss) x7 M4 n, V$ P' D
4 P+ Y# }) E) ?9 m0 M& n
* C- [6 l& J+ \
[attach]277[/attach] - B: q; }0 h, f4 {' `, Q* k

: i* A2 e, b  ^# a  w) O( w/ I5 B0 F9 |( L9 }2 X+ J* K  m
& k0 C) N' B$ E1 b6 i
写入Xss代码的地方一处都没有过滤!6 d- `7 Q2 n7 R; z) x5 _- J
8 ]' m& @7 b8 x+ `8 D2 z/ R  ^# Y
. V: J7 x& ]9 ?8 u" I5 z
( A$ g. p# q7 a- k5 ]0 A
+ J6 q& e+ m8 ]! D/ M

4 ]! ~  L% @" M" b! D2 z* `, |: p. v3 ?+ ]3 L+ Y7 e' b

0 ~) M' ]( Q) g. M+ _  d, t' P2 w/ E2 i8 o/ V
' K# B. L$ t. \1 o" r8 q) C; D1 f
[attach]278[/attach]
4 S8 o+ ]0 w9 K5 N: E2 i
7 k0 l7 H2 y0 [; r; m& J4 ?  z! @1 v+ F4 e5 Z8 a
7 K& H- M4 f3 V9 w, ]! E0 ]
  q  Q4 G. s- o- H
[attach]279[/attach]# K+ G2 w# P+ {2 _

$ l7 \7 ?1 m  r; V) z[attach]280[/attach]5 J+ i& i& T) b% U) O/ B

% n* n- m0 l) Y3 J( v( v# `9 G: {5 t" h

* e3 F9 k% Y+ c  v
, N" ^0 x; u( l( C, Z* [; E# p/ a* z. u/ K, n( g) R4 P
修复方案:
# D4 o( h" b! N0 R" R1 h+ z  v7 {
4 c  T  u5 I+ g0 s1 w1 J过滤,转义。

& Z6 j& L2 N4 \* R* j8 l3 }1 r' m" `0 I% v
- F) V$ a' m! \, W# h

  [$ L9 J- k4 k+ I1 J( K
% N! i7 ]$ o% W3 k0 u6 m
' B6 ^- r3 u0 E6 b, T
% G8 O7 I: ]1 _0 _





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2