此处漏洞存在于发私信内容中。危害非常大。因为任意一个用户可以给任意用户发私信。这个漏洞,危害非常严重。
应该是只过滤了,涛涛电脑知识网,涛涛电脑知识网,<script>等部分标签。<img> 、<iframe>等未过滤。只需发送一封私信,对放打开就能中招。
用img标签实现xss
对方打开私信
挂马
对方打开私信
修复方案:
过滤更严格一点吧。主站论坛做的不错。此外还存在部分反射性xss,也需要注意