discuz x3.0 20130801版本发表日志可xss(含修复) – 网站

2020-10-10 分类：黑客攻防阅读(147) 评论(0) 扫描二维码

论坛开启日志功能的情况下，发表日志，在引入网络图片时可以实现xss。一、详细说明： 1、论坛开启日志功能。 2、用户登录后打开日志功能。 3、发表日志，在引入网络图片时可以实现xss。在ubuntu12.04LTS下搭建的apache2+php+mysql环境下，使用一切默认设置可以再现此漏洞，但我使用win2003时，之前能够再现，在没有更新配置的情况下发现今天不可再现此漏洞，onerror被替换成了点（.） 1、登录后打开日志模块。 2、发表日志，内容如下：

discuz x3.0 20130801版本发表日志可xss(含修复) – 网站插图

3、单击提交

discuz x3.0 20130801版本发表日志可xss(含修复) – 网站插图1

4、提交日志后再浏览日志。

discuz x3.0 20130801版本发表日志可xss(含修复) – 网站插图2

修复方案： 过滤图片URL串

0 个人已赞

赞一个收藏 (0)

未经允许不得转载：起风网 » discuz x3.0 20130801版本发表日志可xss(含修复) – 网站

标签：黑客技术学习黑客攻防

825e5b70b68d744d

相关推荐

评论抢沙发

评论前必须登录！