逗游网反射型跨站,未对url中的参数做必要的过滤,就带入函数组成网页,若参数中带入恶意跨站代码,则 浏览器 会执行代码造成跨站,逗游网有两处跨站,均可用来进行钓鱼,挂马攻击。对网络用户造成危害。 第一处为非持久型跨站http://www.doyo.cn/User/Passport/registerStep2?username=<script>alert(/test by 杰DS/)</script>&email==<script>alert(/test by 杰DS/)</script> username和email参数都进行必要过滤,导致在参数中加跨站代码可以立即实现跨站 第二处为持久性跨站,http://www.doyo.cn/user/ asp asp 注册用户后在个人中心-个人资料-个人简介处为进行任何必要的过滤,若在此处填入跨站代码,则显示个人信息的网页就会发生跨站。 第一处url:http://www.doyo.cn/User/Passport/registerStep2?username=<script>alert(/test by 杰DS/)</script>&email==<script>alert(/test by 杰DS/)</script> 第二处url:http://www.doyo.cn/user/aspasp
查看更多关于逗游网反射型和持久型跨站 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13765