playApi返回内容未处理
修复方案:
大牛门。。。
作者 aomm
百度某论坛存储型xss漏洞
?mod=image&aid=753&size=300x300&key=251d4107522ed3ab0b842ef9f69b2cf0&nocache=yes&type=fixnone
在用户回复部分,可以用户自己上传图片,在图片列表中可以查看自己上传的图片,涛涛电脑知识网,也就是上面的url内容
由于上传图片展示内容为text/html 导致上传的合成图片内含js脚本可以被浏览器执行
你们所有这个Discuz的论坛都有这个漏洞吧
修复方案:
修改下,涛涛电脑知识网,返回内容不要text/html
波波虎
