|
|
3 H/ R, C1 [2 b- O7 B本帖最后由 Lightly 于 2013-10-26 21:56 编辑
4 V, e+ ?/ r v+ t! M/ o& w4 A' \5 _/ ~' }- U6 C
漏洞[/url]先要注册一个新号:" H6 a# `+ U5 }- }1 o4 ]; o/ s4 b
名字写成名人的,这样子在用户推荐处还有搜索就会触发Xss
( {4 y# Y `8 ^) Y4 V7 J
# R6 }9 z5 z* j5 R( X# r2 y: n$ K! b2 M
1 o; N' X. O2 w! z
: B4 C5 \% _5 r9 a z+ w$ w6 T) B% O, T# d, D9 E$ E
$ U! n0 H: i* R, a/ O- f
写入Xss代码的地方一处都没有过滤!
- B A6 @4 n) T$ j9 l" r4 ?9 S+ X" B R2 j
' {' x1 s) S( f+ I" s
! A. g" ?2 Z5 Q- M# P! h ~, X% e
/ r6 ^+ |6 p" [8 g& f& C# C" T" \+ c
; S8 `6 |+ R9 p3 a( U! v
% c9 W3 [2 ] O3 y; d4 G
5 k% X8 F2 i; W4 v. s9 V# s$ \' C) n b7 [
) J4 j" `' [# N @) C0 o
$ L; O0 C9 O: v; C
1 ^0 E; O6 a" y
3 n( o) Q0 c, O+ B3 ~8 s$ B
; Z3 c4 I8 J3 g: `
- T( k1 F E4 n% ^
( W" y& |) h& ^$ r. @3 n6 Y6 T2 L" N
1 Y9 V0 L. _) a7 @1 W& Y2 o) q
# V* ^9 P( l. P2 A7 `7 Z) D) c. L V/ ^" V) k2 i$ B1 c
/ z6 y/ X2 B ~3 l+ @: q2 t0 U
9 a j, Q( j6 {, Q/ |; G
修复方案:
1 h( p' H' L; Y4 |
2 K, T) w; e) Z1 j& j9 C过滤,转义。
1 B/ k5 P2 Y; l9 R2 [# Q
# a1 |) p- Y& D3 o+ f. Y
: m" _( D+ o3 f8 @1 h* s. X
/ r; N9 c4 p$ R
# i/ m9 d# G6 I8 B/ n4 D; g, U7 q% Y9 m% ]6 ~
|
) W2 M0 j' M5 i6 X" j/ P" r; C$ J: @
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|
发表于 2013-11-6 18:02:04
收藏
支持
反对