9158.com配置失误致2处关键位置XSS - 网站安全 - 自

一上来发现my.9158测试数据（账户应用服务器）出现个XSS

反射式的有且只有这一处（任意位置动动鼠标就出现啦）

反射式的只有这一处，别的地方没有！？配置失误了吧

在设置个人主页标题时没有过滤，但这可真是新鲜事，因为我刚测试了个人信息所有输入的地方都做了转义（能不能突破先不谈，有过滤说明有配置）为什么单单个人主页标题没过滤，配置失误了吧

进主页就直接弹了

修复方案：

1.把这两处补上

2.整个的安全配置最好能整体化，单个单个配置容易出现问题，而且长期看也并不简便

3.你们的[一流的安全防御软件]好像只过滤GET请求提交的参数！我测试post时并没有拦截，你们仔细看看确认一下，不当新漏洞发了

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did14308

更新时间：2022-09-13 阅读：69次