编辑档案可提交XSS 未过滤学校名称 专业和描述等字段 别人查看你的个人主页时显示也未做过滤 同时cookie中存的DJ_RF和DJ_RF2地址可直接登录大街网 可盗取cookie直接登录 http://HdhCmsTestdajie测试数据/account/login?auth_str=值&url=http%253A%252F%252FHdhCmsTestdajie测试数据%252Fcard%252Fmaybeknow%253Ftrk%253Dforward 修复方案: 过滤。。。。。。。cookie中有木有必要存这么个值。。。 作者aomm
查看更多关于大街网个人主页页面XSS 致窃取cookie直接登陆 - 网的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did11934