论坛开启日志功能的情况下,发表日志,在引入网络图片时可以实现xss。 一、详细说明: 1、论坛开启日志功能。 2、用户登录后打开日志功能。 3、发表日志,在引入网络图片时可以实现xss。 在ubuntu12.04LTS下搭建的apache2+php+mysql环境下,使用一切默认设置可以再现此 漏洞,但我使用win2003时,之前能够再现,在没有更新配置的情况下发现今天不可再现此漏洞,onerror被替换成了点(.) 1、登录后打开日志模块。 2、发表日志,内容如下:  3、单击提交  4、提交日志后再浏览日志。  修复方案: 过滤图片URL串 |
-
上一篇: ThinkPHP3.1 安全快速入门 - 网站安全 - 自学php
下一篇: Discuz某处XSS劫持UC_KEY(XSS应用详细过程) - 网站
还没有人抢沙发呢~