我也不懂这算不算蠕虫,只能用已知SessionId的ID发动.....
在评论处插入XSS
得到cookies
cookies里面的密码是hash两次 加密 ,不容易解,但是直接用老兵登录吧
运气还不错打到一个VIP
评论的post,id=[帖子ID]&uid=[用户ID 不过在测试时候只发现只需要SessionId就可以 这个参数可以删掉]&sid=[SessionId]&con=[评论内容]
修复方案: 自行修复吧
查看更多关于多米音乐储存型XSS漏洞可蠕虫 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14818