中国网络渗透测试联盟

标题: 经纬网xss [打印本页]
作者: admin    时间: 2013-11-6 18:02
标题: 经纬网xss
- F' L* p) T7 r9 [+ }  [& n
本帖最后由 Lightly 于 2013-10-26 21:56 编辑% D- W2 X5 v( p( N* _5 x! Y

: @* I; T5 V8 h. x0 i# B漏洞[/url]先要注册一个新号:: N% f/ u- G- y& M
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
5 c( E- d7 d, w. _+ L3 X, H) D; ?. z" r" x* r
0 Z) j8 U0 y' S* ~
[attach]277[/attach] * N5 z- @8 e# q' B% I
: s' a! i, b- Z3 j: W) f( U$ I4 L& v% V, m

( ?  a0 k7 @/ A& _0 ~$ }( a8 j% D5 m! s. \- b# {( m
写入Xss代码的地方一处都没有过滤!* M- u  H+ K% G: c  u

, ?$ W$ p) S' ]
3 B6 @* T  U. _% m. y3 x, z6 [5 _' b  N# x9 X2 t) F* _4 k: M
* l- k: L3 h: v: k. M- a
. ?9 @* c+ s0 B5 b/ k

  P5 V% C. H- E3 \) w9 D
3 I* r* p# _. j" X6 H9 k* J# [3 f' W9 X' q
8 `: g* J" V9 t+ u, W4 e% i) ]$ l
[attach]278[/attach]+ ]+ f7 K) }& W; }8 R6 N4 D

4 `0 e4 \6 T9 {0 N6 Q
4 n# E" A: S( o. V- R7 {* }5 k1 d. I. t

1 ]" F$ \2 b: q[attach]279[/attach]! o2 @( b* \; q. _; G
. @2 M3 R5 `3 N' y" ?( v
[attach]280[/attach]( B, Y2 D+ V) o8 H' H; F9 ?
8 k* ?: q1 C1 K9 v8 Q+ A

" _: S* [, S! m
" p) a4 ^# M1 N+ Z# `( @6 g3 _3 Z5 R" M1 ?
$ D" A4 a! o% A. r* U& P' X) X
修复方案:5 _7 u( N% \& p7 U
! P# `# R1 }3 _6 r9 J8 {
过滤,转义。 $ ]: I6 O, r0 I
$ O! p, D- ]0 {: u$ H3 q

9 b1 P; U0 ]/ C2 u+ S2 A6 M+ Y; g
& L! [' A0 K, O% w5 x
, j- T6 M* \! d/ w, g9 ~+ C, L+ j
- h' K: k. }, _; d% O+ v. T




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2