百度卫士官网一处存储型XSS(看我如何绕过XSS过滤构造存储型),WOW~
证明页面
http://weishi.baidu.com/feedback/question_7079. html
步骤:
1.来到百度卫士我要反馈的页面
http://weishi.baidu.com/feedback/add
2.发现使用kindeditor做的~貌似有自带的xss过滤,所以我们就在文本框框里面输入
<input onfocus=alert(/xss/)>
被过滤的无影无踪了!!!TVT
3.愤怒!难道就不能绕过了吗!!!!
4.呵呵,这可难不倒我
5.先添加一个超级链接
6.在超级链接里面插入我们的XSS代码
<input onfocus=alert(/xss/)>
7.提交
8.查看我们的页面 证明页面:
http://weishi.baidu.com/feedback/question_7079.html
点击那个框框,XSS代码轻松执行,哦耶
修复方案: 过滤了
查看更多关于百度卫士官网一处存储型XSS(看我如何绕过XSS过的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14839