之前小伙伴报了那个XSS倒是修复了,但很明显是指哪补哪…… 其他位置依旧存在过滤不严的问题,可用于获取其他用户权限。 后天考试了,今天来赞个人品,顺便跟清华的学长学姐混个脸熟~ (PS:其实我还测试了半天的越权,想那么多地方总该会有,可是没找到555)
日历、任务、签名处未过滤,导致存储型XSS
别的伙伴进入团队时会中招。
可获得Cookie劫持账户。
修复方案:
#1、文档那个地方应该还有,可能你们服务器出了些问题所以打不开那个网页了…… #2、过滤危险字符。 #3、自查啊!在同一个地方跌倒两次了。
查看更多关于Colorwork存储型XSS漏洞可获取其他用户权限(3枚打的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15139