释锐教育区校版电子书包教学平台XSS漏洞 - 网站-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

释锐教育区校版电子书包教学平台XSS漏洞 - 网站

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 看到http: www wooyun org bugs wooyun-2010-051965过了，我也来了存储型xss详细说明：利用官方demo测试http: demo 31390 com:8080 eLearning user html随意点击一个用户在留言处写入xss语句点击留言试试直接就...

看到 http://www.2cto.com/Article/201409/334988.html 过了，我也来了
存储型xss

详细说明：

利用官方demo测试

http://demo.31390.com:8080/eLearning/user.html

随意点击一个用户

在留言处写入xss语句

QQ图片20140714152620.jpg

点击留言试试

直接就给弹了。。

QQ图片20140714152743.jpg

看看源代码

毫无过滤

QQ图片20140714152834.jpg

测试地址：http://demo.31390.com:8080/eLearning/message/s800.html

其实本身是html文件，给予xss很大空间

测试一下通用性

http://ssd3.31390.com/eLearning/user.html

QQ图片20140714153038.jpg

http://jhxx.mhedu.sh.cn/eLearning/user.html

QQ图片20140714153148.jpg

修复方案：

过滤等。。

ThinkSAAS 2.2 存储型XSS(绕过防护机制) - 网站安全

phpyun绕过360艰难的SQL注射及修复 - 网站安全 - 自

最新评论

加载更多~~

添加评论

更多文章推荐

TSRC挑战赛： PHP防御绕过挑战实录 - 网站安全 - 2015-04-15
优酷主站stored xss可执行任意js代码 - 网站安全 2015-04-15
浅谈WAF的绕过(附绕过安全狗的方法) - 网站安全 2015-04-15
曲线救国打完美迂回战术——不算提权的提权 2015-04-15
NITC营销系统SQL注入漏洞 - 网站安全 - 自学php 2015-04-15
destoon /v5.0/ 存储型xss指哪打哪 - 网站安全 - 自学 2015-04-15
网站个人渗透技巧收集与总结 - 网站安全 - 自学 2015-04-15
华为内部的Web安全原则 - 网站安全 - 自学php 2015-04-15
Ecmall某处SQL二次注入第三弹 - 网站安全 - 自学p 2015-04-15
某通用投稿系统任意帐号登入漏洞 - 网站安全 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论