来源:自学PHP网 时间:2015-04-17 10:16 作者: 阅读:次
[导读] 借爱奇艺某功能挖出网站多处存储型XSS(打遍天下无敌手)STEP1 我们在一个具体的视频页面发起一个投票,标题是XSS代码,具体选项也是XSS代码,点击提交STEP2 查看我们的投票STEP3 我们...
|
借爱奇艺某功能挖出网站多处存储型XSS(“打”遍天下无敌手)
STEP1.我们在一个具体的视频页面发起一个投票,标题是XSS代码,具体选项也是XSS代码,点击提交
 STEP2.查看我们的投票
 STEP3.我们发现XSS代码没有过滤,可爱的文本输入框框出来了~我们点一下,呵呵弹出窗口了吧
 我们来看看利用投票功能里的XSS代码,我们在哪些地方构造了存储型XSS
1.在具体的视频页面的评论处
 2.在个人中心的动态处同样没有过滤(可以导致各种好友中招)
 修复方案:
过滤XSS代码(过滤的一点都不彻底啊,不给力啊!少年) |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
