简要描述: 未对输入的一些位置做严谨过滤,导致持久XSS,可获取cookies模拟登录及其它利用方式 详细说明: job.chinaunix.net 修改个人信息时,用">和谐后可执行代码,并可存储。
登陆->修改个人信息->在[通信地址]、[个人主页]等框填写以下内容: "><script>alert(/vulnhunt for XSS/)</script> 保存。 当 HdhCmsTest2cto测试数据 有人浏览个人信息时触发。
漏洞 证明:
<td>
<input id="address" type="text" value="" size="30" maxlength="100" name="address">
<script>
alert(/vulnhunt for XSS/)
</script>
" /> 邮政编码
<input id="postalcode" type="text" value="" size="6" maxlength="10" name="postalcode">
</td> 修复方案: 过滤等
查看更多关于chinaunix持久型XSS及修复 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did11377