论坛开启日志功能的情况下,发表日志,在引入网络图片时可以实现xss。 一、详细说明: 1、论坛开启日志功能。 2、用户登录后打开日志功能。 3、发表日志,在引入网络图片时可以实现xss。 在ubuntu12.04LTS下搭建的apache2+php+mysql环境下,使用一切默认设置可以再现此 漏洞,但我使用win2003时,之前能够再现,在没有更新配置的情况下发现今天不可再现此漏洞,onerror被替换成了点(.) 1、登录后打开日志模块。 2、发表日志,内容如下: 3、单击提交 4、提交日志后再浏览日志。 修复方案: 过滤图片URL串 |
评论前必须登录!
立即登录