flaw0r 发表于 2010-4-22 16:14:40

论坛竟然存在XSS漏洞,不可思议~不可思议

http://i673.photobucket.com/albums/vv97/flaw0r/2-26.png


貌似这个漏洞之前已经公布了,难道没有注意,保存型的XSS漏洞,禁用discuz代码和img代码同样能执行!~
,怎么说呢,问题没想象的严重,主要是因为普通用户没有权限访问别人的控制面板。
建议:
1.修改memcp.php文件,过滤个人签名文字
2.禁用个人签名

哎,国内做安全测试的实在是太少了,努力找工作中~~~~:loveliness: :lol

[ 本帖最后由 flaw0r 于 2010-4-26 18:33 编辑 ]

msnshow 发表于 2010-4-26 14:02:17

不太明白!

davidxing 发表于 2010-4-26 17:02:08

test for the xss

波罗先生 发表于 2010-5-10 10:36:15

能说详细点吗

ljdfdd 发表于 2010-7-1 11:32:16

厉害呀,其实论坛很多这种漏洞的,只是没人关心而已

lx040114 发表于 2010-7-5 00:02:47

<script>alert("xss")</script>

huangqy 发表于 2010-7-14 17:27:10

原帖由 波罗先生 于 2010-5-10 10:36 发表 http://bbs.51testing.com/images/common/back.gif
能说详细点吗
赞同!

msnshow 发表于 2010-7-16 23:23:56

影响不是很大,至少对服务器没影响,只是影响用户

felix87 发表于 2010-8-9 11:29:37

:lol :hug:

[ 本帖最后由 felix87 于 2010-8-9 11:30 编辑 ]

ryugun 发表于 2010-8-9 17:22:35

这个图 是P的。。。

12qwsa 发表于 2010-10-25 16:55:19

呵呵 正学习安全测试

qingsang 发表于 2010-11-29 19:31:12

<script>alert("xss")</script>

he_jian 发表于 2011-1-25 15:09:49

去,我以前这样试过,怎么没有出现 上面的情况

noevil 发表于 2011-2-1 14:42:59

回复 8# msnshow


    此言差矣。

gaichifanle 发表于 2011-2-12 11:19:26

<script>alert("xss")</script>

moonet 发表于 2011-4-1 16:01:07

貌似假的~~偶没发现这问题!!

jiawa99 发表于 2011-4-13 10:38:16

<script>alert("xss")</script>

flaw0r 发表于 2011-4-17 11:31:44

是假的吗?非也,
测试代码:
</textarea><script>alert(/flaw0r/);</script><textarea>

个人签名处输入即可!~

chuck17 发表于 2011-4-19 13:51:02

<script>alert("xss")</script>

mfq666 发表于 2011-6-8 15:42:20

<script>alert("xss")</script>
页: [1] 2
查看完整版本: 论坛竟然存在XSS漏洞,不可思议~不可思议