中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss
1 X: b& d! [4 |, }* E. x( T
本帖最后由 Lightly 于 2013-10-26 21:56 编辑7 r0 E1 w6 V3 [9 M0 x/ B; z" \8 w2 A
: K6 D) S- a) x- u: }4 `7 B$ S( H# M5 g
漏洞[/url]先要注册一个新号:& F; x6 i. ]. O4 q4 Q
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
- F; G& T+ P  O2 Y  H4 x6 r8 o* _; u3 v/ N+ E: J

8 ~$ i2 f2 n$ _+ \[attach]277[/attach]
: J/ `# H9 |, o# \
9 K0 Z# Q- n" E0 ^; K' T6 C
  \; b5 o1 S  u5 U2 G/ i6 Y, L8 y
写入Xss代码的地方一处都没有过滤!) Y* F- J5 {% v( t8 `' F
5 q& @) B! m4 Y& E4 v. k
4 `7 u/ U/ N% i! ~7 O
- m% H4 _/ h# k2 Y! a
6 K$ E  W* x9 Y' A  d( v; P
% y" \+ O3 ?6 O% w; L9 U8 q
1 y+ r) C  O( \) B' s! c

& L: E8 ?$ M( s$ c+ a$ N$ M4 C' a! a+ ^
1 D9 U% J0 O3 l
[attach]278[/attach]
& W1 x$ u9 e- j  |: x$ j+ Q% r- ^: b  H

1 a( F2 o9 K# a# H2 p7 e
, e; Y9 T! w& S: g0 ]3 `* m
  |2 C: ~  I7 R( y; g[attach]279[/attach]" |; h. T) Z( b. [8 A$ o" g

( O( V& o% ^- I[attach]280[/attach]* n! L" l. l! s2 [4 T
0 Z; w5 u* [, A$ G# L' A

. _! r4 K) y2 [9 f6 J5 j) |  O: T" S, Q$ g  j/ ^* f

6 E; m4 ~& N. l
$ x; q  }. d+ U# ?3 i  O修复方案:4 [4 u. Z8 E# m8 Q
6 v1 K3 \$ i5 h4 q, z
过滤,转义。
1 f+ `2 U. k+ P7 E& B0 b+ C" [9 t6 O* _4 {

0 T( a- d6 t; @5 _, X! A6 o0 i9 [! O9 X) g8 K6 Q* R

# b9 x6 x. L8 ?2 r! W4 x, y
$ Q9 Z% B# i' w2 ~/ ~% P9 Y# K

  _5 L, C  |5 I



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2