详细说明: 微博个人资料的[单位名称]字段显示时没有进行HTML转义,导致存储型XSS 漏洞 。 测试向量:"><iframe onload=alert(document.domain)>,注入到漏洞字段并保存为所有人可见。 只要引诱用户查看攻击者的主页即可触发恶意代码执行! 漏洞证明: 修复方案: HTML转义 作者WebSPRing
查看更多关于新浪微博个人主页存储型XSS漏洞及修复 - 网站安的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did12203