金山毒霸存储型XSS一枚。
金山毒霸---金山网络联盟留言板处存在存储型XSS,没有对<>等符号做过滤。。
只是过滤了[]双引号
可以直接执行跨站语句
详细的,看图吧。。。
漏洞 地址:http://union.ijinshan.com/?c=user&a=message#write
还有个sql注入漏洞,页面不知道怎么,一直打不开……晚点提交吧。。
修复方案:
过滤~~
查看更多关于金山毒霸存储型XSS一枚 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14609