• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    知乎一处存储xss

    时间:2015/5/19 19:05:31 作者:平凡之路 来源:xuhantao.com 浏览:

    知乎的每一个用户可以修改任何人发的问题,这个功能很有意思,官方对这个功能的解释
    ,自然要看看这个输入地方是否
    xss了,简单测试发现过滤了<>了,但是这年头<>已经不是xss必须的了。按照啤酒@wuyun大神说的
    没有过滤"的就xss了,涛涛电脑知识网,那就看看,找到一个问题:

    修改问题:
    在其后添加" onmousemove=alert(1)// 保存.
     
     


     
    然后点击旁边的 邮件邀请 功能这个功能,应该是邀请好友回答这个问题,涛涛电脑知识网,但是这里面没有过滤" 导致触发xss
     
     



     
    利用方法,修改热门提问,只要浏览问题用户点击 邮件邀请 就会触发xss...


    修复方案:
    编码"
    作者 possible

  • 上一篇:关于JSP源码泄漏问题的总结分析
  • 下一篇:MobileCartly 1.0 远程代码执行及任意文件删除漏洞
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1