来源:自学PHP网 时间:2015-04-17 14:47 作者: 阅读:次
[导读] 话说昨天一不小心就发现了个天涯的xss漏洞,下面说下是如何发现的,此文可以延伸到所有高权限用户过滤不严的论坛。首先,我用特殊的方法搞到了一个版主的号,然后想看看wooyun说...
|
话说昨天一不小心就发现了个天涯的xss漏洞,下面说下是如何发现的,此文可以延伸到所有高权限用户过滤不严的论坛。 首先,我用“特殊的方法”搞到了一个版主的号,然后想看看wooyun说的任意编辑帖子可不可以,结果发现不可以,结果又发现了个问题,就是天涯的XSS漏洞
当然,你直接插入<script XXX>肯定是不成功的,但是,当你插入<ScRiPt XXX>是会成功的,为什么呢,因为天涯程序猿没发工资,只过滤了小写。 虽然这个漏洞是“偶然”发现的,但是这个漏洞形成是由必然关系的。 虽然对普通用户的帖子内容进行了过滤,但未对具有高权限的用户进行过滤。 引用刚学的《出师表》:“不宜偏私,使内外异法也” 这个漏洞也是对高权限用户进行“偏私”所以导致的漏洞。 解决方法:对所有权限的用户实行过滤 摘自:www.safe121.com |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
