来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 新浪微博http://widget.weibo.com/ 下直播组件存在XSS漏洞。详细说明:直播组件一般给其他网站使用,如嵌入iframe src=http://widget.weibo.com/livestream/listlive.php?language=zh_cnwidth=242height=29......
|
新浪微博http://widget.weibo.com/ 下直播组件存在XSS漏洞。
详细说明: 直播组件一般给其他网站使用,如嵌入 <iframe src=http://widget.weibo.com/livestream/listlive.php?language=zh_cn&width=242&height=290&uid=1459831275&skin=1&refer=1&pic=1&titlebar=0&border=0&publish=1&atalk=1&recomm=1&at=1&atopic=111&ptopic=1111&dpc=1></iframe> 该页面对refer_content过滤不严导致可以xss。导致会给使用该组件的其他网站带来点安全隐患。 漏洞证明:www.2cto.com 访问xxxxx/sina1.html?s=</script><script>alert(document.domain)</script> 其代码为: <iframe src=http://widget.weibo.com/livestream/listlive.php?language=zh_cn&width=242&height=290&uid=1459831275&skin=1&refer=1&pic=1&titlebar=0&border=0&publish=1&atalk=1&recomm=1&at=1&atopic=111&ptopic=1111&dpc=1></iframe> 则弹出weibo的domain 修复方案: 安全编码 摘自d4rkwind@乌云 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
