百度文库及某论坛的存储XSS - 网站安全 - 自学

http://wk.baidu测试数据/view/65604a8ad0d233d4b14e69f3?&st=3&pu=pw@4500lp,tpl@ playApi返回内容未处理修复方案：大牛门。。。作者 aomm 百度某论坛存储型xss漏洞 http://bbs.shouji.baidu测试数据/forum.php?mod=image&aid=753&size=300x300&key=251d4107522ed3ab0b842ef9f69b2cf0&nocache=yes&type=fixnone 在用户回复部分，可以用户自己上传图片，在图片列表中可以查看自己上传的图片，也就是上面的url内容由于上传图片展示内容为text/html 导致上传的合成图片内含js脚本可以被浏览器执行你们所有这个Discuz的论坛都有这个漏洞吧修复方案：修改下，返回内容不要text/ html 波波虎

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did13862

更新时间：2022-09-13 阅读：52次