蚂蜂窝存在js标签过滤不严致xss攻击 - 网站安全-自学php网

主页 > 后端 > 网站安全 >

蚂蜂窝存在js标签过滤不严致xss攻击 - 网站安全

来源：自学PHP网时间：2015-04-17 11:59 作者：阅读:次

[导读] 此处漏洞存在于发私信内容中。危害非常大。因为任意一个用户可以给任意用户发私信。这个漏洞，危害非常严重。应该是只过滤了，script等部分标签。img 、iframe等未过滤。只需发送一...

此处漏洞存在于发私信内容中。危害非常大。因为任意一个用户可以给任意用户发私信。这个漏洞，危害非常严重。
应该是只过滤了，<script>等部分标签。<img> 、<iframe>等未过滤。只需发送一封私信，对放打开就能中招。

用img标签实现xss

对方打开私信

挂马

对方打开私信

修复方案：

过滤更严格一点吧。主站论坛做的不错。此外还存在部分反射性xss，也需要注意

多玩YY URL拦截可致XSS攻击 - 网站安全 - 自学php

TOM某分站上传绕过命令执行可以拿到SHLL - 网站安

最新评论

加载更多~~

添加评论

更多文章推荐

北京春笛网络信息技术服务有限公司邮箱系统默 2015-04-16
qdPM v.7任意文件上传 - 网站安全 - 自学php 2015-04-17
58同城存储型XSS ( 25个字符加载JS ) + 任意手机号码 2015-04-16
腾讯qq手机空间及微薄的xss - 网站安全 - 自学ph 2015-04-17
Web的脆弱性：各种注入、攻击 - 网站安全 - 自学 2015-04-17
凡客诚品手机版SQL注射及修复方案 - 网站安全 2015-04-17
常用注册表设置 - Windows操作系统 - 自学php 2015-04-17
sphpforum 0.4多个缺陷及修复 - 网站安全 - 自学php 2015-04-17
FCK编辑器爆绝对路径 - 网站安全 - 自学php 2015-04-17
解除任务管理器被禁用的三种方法 - Windows操作系 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论