程序官网: http://www.youyax.com/ 漏洞程序 下载地址: http://www.2cto.com/ym/201402/44952. html 漏洞文件位置在:\YouYaX\Tpl\mobile\home\mypub.html 第23行处的 eval() 函数 ......
......
......
document.onreadystatechange = function(){
if (document.readyState == "complete"){
var aes=document.getElementById("pagination").getElementsByTagName("a");
var url=window.location.href;
18行 var url_array=url.split("=");
var page=url_array[1];
var uclass=document.getElementById("pagination").getElementsByTagName("a");
for(var n in uclass)
{
23行 var str=eval("/fy"+page+"/");
if(str.test(uclass[n].className)&&uclass[n].className!=undefined)
{
uclass[n].style.background="#deccb1";
}
}
}
}
......
......
......
观察上面的代码不难发现,18行处的 var url_array=url.split("="); 是罪魁祸首。 整个过程将URL以等号(=)之后的字符送入page变量,然后等到页面触发AJAX - onreadystatechange 事件 再通过eval函数执行了page里面的变量。 知道了程序的逻辑后,我们可以在URL处构造如下: http://127.0.0.1/YouYaX/Tpl/mobile/home/mypub.html?=/.source+alert()/ 当我们访问http://127.0.0.1/YouYaX/Tpl/mobile/home/mypub.html?=/.source+alert()/ |
修复方案: 根据业务选择是否保留或者过滤 -
上一篇: destoon /v5.0/ 存储型xss指哪打哪 - 网站安全 - 自学
下一篇: destoon /v5.0/ 存储型xss 指哪打哪(绕过1) - 网站安全
还没有人抢沙发呢~