看到 http://www.2cto.com/Article/201409/334988. html 过了,我也来了 存储型xss
详细说明:利用官方demo测试 http://demo.31390.com:8080/eLearning/user.html 随意点击一个用户 在留言处写入xss语句
点击留言试试 直接就给弹了。。
看看源代码 毫无过滤
测试地址:http://demo.31390.com:8080/eLearning/message/s800.html 其实本身是html文件,给予xss很大空间 测试一下通用性 http://ssd3.31390.com/eLearning/user.html
http://jhxx.mhedu.sh.cn/eLearning/user.html
修复方案:
过滤等。。
查看更多关于释锐教育区校版电子书包教学平台XSS漏洞 - 网站的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15166