中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss

4 p3 q1 ~6 h, p8 H3 _
本帖最后由 Lightly 于 2013-10-26 21:56 编辑  X: y. l0 v+ K

  \8 h* |7 m3 a漏洞[/url]先要注册一个新号:
7 a! ~" R3 B4 D7 D& o2 O, h" Y# h5 p名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
6 w2 b+ o: E! h! b6 N) X- a' I1 Q; t- b4 L* g# U
+ m1 m9 F' l% A$ }  c: v
[attach]277[/attach]
, ?! ^/ ]2 {9 `9 S- n  ?" p) R5 c% \9 H, H% z; d! n

$ {1 |% u3 {6 \6 v) z* ]- y
/ s/ P4 |4 e5 Y5 d1 p写入Xss代码的地方一处都没有过滤!
. ]/ t/ f6 \4 u4 z+ `% p% n4 l
% L$ J/ V+ |6 q* G9 S3 K2 e  K7 b9 n8 u0 ^( Q) ]! s

$ `0 q6 T* k; |9 ^3 Q* G7 O; y- ]5 j" C* i! J  U) W! V# Z" {

  R8 J# B8 G* h% Q  f: {) F
- D* M" o8 n, [# F( L/ p0 a. o- `( {" G
/ R" e; d* k: L
: a: a/ T) {0 m
[attach]278[/attach]0 G& m; @6 W$ H; j+ o
# x# [3 f8 J# d$ E4 T
! Q/ }# X8 j) N, d, I& x) B6 n

- p" {, x: f! k! X! L: O0 y' T9 M7 O5 ~9 Z
[attach]279[/attach]
& t6 K4 X7 }/ M; U
# [; [- G# E2 c[attach]280[/attach]$ R- l/ X$ \+ H( H

# ], r2 b. {; s/ d/ M) c5 N
9 ]* o; g) P; e6 J) F) H# A" J- `% T" j5 o0 E, I; d  |1 K3 m

4 T0 O: I- F. X( A; p4 k0 p) q: ]4 p" i/ N3 P# K8 C) o8 R
修复方案:& }- n9 B$ M( ?' J) ^4 d6 a

; A! }, i3 o  ^3 f过滤,转义。
6 X9 U) U- p, ?1 l; Q9 l: Y5 v) o' m7 o' R' _" T6 ~: \

& O0 b7 t: Y  v/ @
, }. f3 w, k" Y0 G8 P6 x" X2 e  C9 I0 u0 ~% _
' T7 z3 z4 i2 H& b8 i' n

, _; V6 A0 q9 ?- |/ y- {



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2