貌似鸡肋,因为要造成XSS是需要有一定的权限,比如论坛的斑竹什么的,普通会员的话好像不行,涛涛电脑知识网,因为存在XSS的地方是一个转账功能,而在此转账功能下面还有一个留言框,而造成XSS的就是这个留言框。此留言框未做任务过滤处理。经测试用一个有权限的帐号给一个普通帐号转账附带留言XSS.可成功获取cookie.
修复方案:
过滤处理~!!!!
貌似鸡肋,因为要造成XSS是需要有一定的权限,比如论坛的斑竹什么的,普通会员的话好像不行,涛涛电脑知识网,因为存在XSS的地方是一个转账功能,而在此转账功能下面还有一个留言框,而造成XSS的就是这个留言框。此留言框未做任务过滤处理。经测试用一个有权限的帐号给一个普通帐号转账附带留言XSS.可成功获取cookie.
修复方案:
过滤处理~!!!!