网易博客一处存储型跨站 - 网站安全 - 自学php

网易博客，博客设置，个人经历那里，未对用户输入的信息过滤，导致xss。

由于博客提供可将此信息显示在首页的功能，放大了漏洞的影响效果，只要点击到对方博客首页，就会被跨。。

查看源码，发现此处没有过滤

绕一下，}</textarea><script>alert(document.cookie)</script>

标签变色了，

显示在首页[关于我]

最后任意用户来到我博客的主页，cookie没了。。

如果能社工拿到博客人气排行榜上博主的cookie，只需诱使点我一下，相信不难，再用他们的博客。。

cookie，马，虫。。

修复方案：很简单的小问题，不要粗心哦。。

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did13375

更新时间：2022-09-13 阅读：49次