逗游网反射型跨站,未对url中的参数做必要的过滤,就带入函数组成网页,若参数中带入恶意跨站代码,则浏览器会执行代码造成跨站,涛涛电脑知识网,逗游网有两处跨站,均可用来进行钓鱼,挂马攻击。对网络用户造成危害。
第一处为非持久型跨站?username=<script>alert(/test by 杰DS/)</script>&email==<script>alert(/test by 杰DS/)</script>
username和email参数都进行必要过滤,导致在参数中加跨站代码可以立即实现跨站
第二处为持久性跨站, 注册用户后在个人中心-个人资料-个人简介处为进行任何必要的过滤,涛涛电脑知识网,若在此处填入跨站代码,则显示个人信息的网页就会发生跨站。
第一处url:?username=<script>alert(/test by 杰DS/)</script>&email==<script>alert(/test by 杰DS/)</script>
第二处url: