来源:自学PHP网 时间:2015-04-16 23:15 作者: 阅读:次
[导读] 通过粉丝服务平台开发模式给用户发送图文类型私信时,可以通过构造内容,使得用户收到的私信在显示的时候出现XSS用户开通粉丝服务平台后,通过调用开放平台2 messages reply接口可以...
|
通过粉丝服务平台开发模式给用户发送图文类型私信时,
可以通过构造内容,使得用户收到的私信在显示的时候出现XSS
用户开通粉丝服务平台后,通过调用开放平台2/messages/reply接口可以给用户发送图文信息
 在该信息的summary字段存在过滤不严,通过构造summary字段,传递XSS值,在用户收到消息显示的时候存在xss
summary字段:
"></a><a href="javascript:alert('1');">你好</a><a "
构造成的值:
[{"image":"http:\/\/www.wooyun.org\/images\/ewm.jpg","display_name":"\u6d4b\u8bd5","summary":""><\/a><a href="javascript:alert('1');">\u4f60\u597d<\/a><a "","url":"http:\/\/www.baidu.com"}]
用户收到后在消息框显示:
 点击后:
 修复方案:
在显示的地方对summary进行过滤
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
