看杀气兄在FeedBack中玩的那么开心,自己也来杀一杀~~~
杀了一堆意见反馈,终于打了个酷6的留言本~~~~~~~~~
忘记删除自己测试的弹框框了,貌似已经被发现鸟~赶快发乌云~~~嘻嘻.....
详细说明:XSS地址:
后台中对用户输入的问题详情、漏洞页面没有过滤~
再加上留言本管理后台对外,所以凭借着cookies杀了进去~~
向杀气兄学习~~
居然不让妹子下班,18点了还被跨,人性化啊亲~~~
我的XSS问题
有控制留言本的权限,给自己回应了下~看名字还是妹子~
修复方案:
虽然只是一个留言本的管理系统,也很重要地~后台不对外网开放啊亲~
试想一下,涛涛电脑知识网,假如我回复一些XXXXXXX的话给用户,用户会有什么想法?
------
净化输入~过滤输出~
管理后台不对外网开放
,涛涛电脑知识网