是这么个情况,绕过人人网客户端限制的存储型XSS
人人网好友支持分组管理,在创建好友分组这块,虽然在客户端做了限制,可以轻松突破
1·客户端的情况是有字数和特殊字符的限制:
2·然后正常提交,抓包修改其中的分组名称参数
3·点击提交
结果就可以看得了
修复方案: 服务器端验证过滤
查看更多关于人人网某功能绕过限制跨站 - 网站安全 - 自学p的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13249
人人网某功能绕过限制跨站 - 网站安全 - 自学p
阅读:41次